Witamy na naszej stronie,
Firma Term-Tech posiada wieloletnie doświadczenie w administrowaniu systemami informatycznymi udokumentowane praktyką i zdobytymi szkoleniami. Działamy od 2004r oferując profesjonalne doradztwo oraz obsługę informatyczną (outsourcing) dla Firm.
Wychodząc naprzeciw oczekiwaniom dynamicznie rozwijającego się rynku świadczymy usługi na najwyższym poziomie, gwarantując stabilne i bezpieczne działanie infrastruktury IT w Państwa firmie.
W naszej ofercie znajdują się:
Staramy się rozwiązać każdy problem.
Zapraszamy do współpracy.
Jesteśmy dla Ciebie i Twojego Biznesu.
![null](https://blog.avast.com/hs-fs/hubfs/Login.png?t=1504295354208&width=640&name=Login.png")
Wszystko co powinieneś wiedzieć, żeby wykryć i przechytrzyć oszustów przysyłających maile phishingowe.
Wykrycie, rozpoznanie a nawet zdemaskowanie oszustów stojących za phishingowym scamem nie jest trudne w dzisiejszych czasach. Wystarczy umiejętność rozpoznania sztuczek charakterystycznych dla phishingu oraz porządna wyszukiwarka internetowa. Jeżeli połączymy obydwie te rzeczy, możemy nie tylko wykryć scam phishingowy, ale również odnaleźć jego twórcę.
W dzisiejszym świecie maile phishingowe to zwykła codzienność. Każdy z nas może takiego maila znaleźć w swojej skrzynce. Zazwyczaj taki mail pochodzi rzekomo od firmy lub instytucji, w której mamy założone konto. Następnie jesteśmy informowani o niespodziewanych problemach technicznych, które jednak możemy z łatwością usunąć sami po kliknięciu w odpowiedniego linka albo po zalogowaniu się.
A jeśli postąpimy zgodnie z instrukcjami, cyberprzestępcy już mają nasze dane poufne – loginy, hasła itp. Za jednym kliknięciem otworzyliśmy prawdziwą puszkę Pandory.
Komunikat na stronie phishingowej, który ma na celu nielegalne pozyskanie danych poufnych
Pierwsza ważna wskazówka: email phishingowy bardzo często zawiera logo firmy w bardzo kiepskiej jakości, a czasami jest ono nawet zniekształcone. Często można również dostrzec tagi HTML-a i literówki. Oczywiście doświadczeni internauci od razu wyczują, że to wiadomość wysłana przez oszustów. Niestety łatwym celem są w dalszym ciągu naiwni i początkujący internauci.
Różnice pomiędzy stroną phishingową (po lewej) a stroną oryginalną (po prawej).
Oprócz rażących błędów i niedoskonałości na całej stronie, warto spojrzeć również na pasek adresu URL. Oprogramowanie antywirusowe, takie jak Avast ostrzega użytkowników, jeśli strona nie ma bezpiecznego połączenia. Zazwyczaj w samym pasku adresu URL widać jednak, że nadawcą wiadomości nie jest wcale firma, za którą oszuści się podają.
Przykłady dziwnych nazw domeny, które mają wyglądać, jakby były stroną serwisu PayPal
Kolejna rzecz, na którą warto zwrócić uwagę to Base64, rodzaj kodowania, umożliwiający oszustom ukrycie domeny internetowej. Użytkownik będzie zachęcany do kliknięcia w link ukryty w e-mailu, dokumencie lub na innej stronie internetowej. Po dokładnym przyjrzeniu się załadowanej stronie, będzie widoczny link phishingowy i kod HTML (w meta danych). Ta technika zaciemniania kodu jest chętnie wykorzystywana przez oszustów, ponieważ nie jest tak oczywista dla każdego użytkownika internetu. Jeśli w pasku adresu dostrzeżesz Base64, masz pewność, że link ten jest podejrzany.
Base64 w pasku adresu
W tym konkretnym przypadku fałszywa strona internetowa wyglądała tak:
Fałszywe okienko logowania
W pasku adresu widać kodowanie Base64. Dla niewprawnego oka całość wygląda jak zwykły adres URL. Jeśli jednak zagłębimy się w analizowany kod zobaczymy, że spreparowana formatka wywołuje coś takiego:
Oryginalny kod
Jest to plik PHP zlokalizowany w “papyrue.com.ng/cgi/default/mr.php”, który dostarcza dane logowania ofiary bezpośrednio do cyberprzestępców. Eksperci Avasta oraz specjaliści zajmujący się bezpieczeństwem internetowym przyznają, że dzieje się to każdego dnia.Kontynuując nasze polowanie, uruchomiliśmy wyszukiwarkę internetową, by znaleźć właściciela “papyrue.com.ng.”
Zdekodowany plik HTML strony oszustów
Po przejrzeniu bazy Whois, dowiadujemy się, że domena internetowa została zarejestrowana 14 marca 2016 przez użytkownika z Nigerii przy użyciu jego adresu e-mail.
Postanowiliśmy zbadać sprawę dalej.
Strona internetowa papyrue.com.ng
Nie zdziwiło nas, że strona internetowa papyrue była kiepsko zaprojektowana i niekompletna. Po zbadaniu serwera użytego przez oszustów odkryliśmy kolejne phishingowe pliki HTML.
Kolejna strona oszustów z papyrue, zakodowana w tym samym stylu co pozostałe
W katalogu znaleźliśmy kolejne fałszywe wersje Excel Online, Yahoo i Adobe, wszystkie zawierały niebezpieczne pliki PHP, które tylko czekały aż uruchomi je niczego niepodejrzewający użytkownik.
W kodzie widoczne były komentarze programisty-oszusta, który podpisywał się jako “Alibobo.” Ten pseudonim często się przewijał w przypadku ataków phishingowych.
Komentarz developera strony oszustów
W jednym z komentarzy pojawił się nawet link do jego strony internetowej oraz adres e-mail. Jeden rzut oka do bazy Whois i już wiemy, że Alibobo to mężczyzna z Nigerii. Raport Whois umożliwia nam również wgląd do używanych przez niego portali społecznościowych.
Jego adres e-mail był wykorzystany do zarejestrowania ponad 19 domen internetowych (w tym również nieczynnych). Nasze poszukiwania oparły się na tym jedynym znanym nam adresie e-mail, ale z pewnością posiada ich co najmniej kilka. Z bazy Whois uzyskaliśmy również jego numer telefonu oraz inne dane.
Raport Whois dotyczący Alibobo
Szperając dalej w wyszukiwarce Google’a znaleźliśmy jeszcze więcej informacji na jego temat: zdjęcia w mediach społecznościowych, adres domowy i firmowy, a nawet profil na portalu „freelancer.in”, gdzie ogłaszał swoje usługi.
Profil Alibobo na freelancer.in
Tworzenie złośliwego oprogramowania to branża przynosząca zyski, nic więc dziwnego, że przyciąga chętnych – tak jak i naszego Alibobo. Podobnych do niego są tysiące, o ile nie miliony. Obserwując jego profile społecznościowe wydaje się, że z biegiem czasu stał się bardziej ostrożny. Ale to branża, która nie znosi próżni, więc na miejsce jednego zdemaskowanego oszusta, zaraz wskoczy kolejny.
Artykuł pochodzi ze strony https://trybawaryjny.pl/phishing/
