Много измамни имейли са болезнено очевидни за опитни уеб потребители. Правописни грешки, абсурдни сценарии и съмнителни прикачени файлове обикновено са ясни признаци на пакости.

В действителност обаче не всички опити за фишинг са толкова явни и ако приемем, че те могат да доведат до фалшиво чувство за сигурност. Някои са толкова внимателно изработени, че са способни да заблудят дори най-умните потребители.

Фишинг имейлите са особено убедителни, когато злоупотребяват с някои от усъвършенстваните техники, които обсъждаме в тази статия.

Когато мислим за уязвимости на уебсайтове, изображения на мащабни хакове и катастрофални пробиви на данни пролетта на ума. Но най-често срещаните уязвимости са много повече пешеходци.

Те обикновено не водят до пълно поглъщане на уебсайт, а вместо това дават на хакерите някакъв малък win, като достъп до някаква привилегирована информация или възможност за вмъкване на малко злонамерен код в страница.

Някои видове уязвимости позволяват да се използва домейн на сайта, за да се създаде URL, който изглежда произхожда от страницата на сайта, но всъщност е под контрола на хакера.

instagram viewer

Тези „легитимни“ URL адреси са изключително полезни за измамници по имейл, защото е по-вероятно да заобиколят филтрите или да избегнат уведомяването на жертвите.

Отворете пренасочванията

Уебсайтовете често имат нужда да пренасочват потребителите към друг сайт (или друга страница на същия сайт), без да използват редовна връзка. URL адресът за пренасочване може да приеме форма като: 

http://vulnerable.com/go.php? url =

Това може да помогне на компаниите да следят важни данни, но се превръща в проблем за сигурността, когато всеки може да използва пренасочване, за да създаде връзка към която и да е страница в мрежата.

Например измамникът може да използва доверието ви уязвими.com за да създадете връзка, която всъщност ви изпраща evil.com: 

http://vulnerable.com/go.php? url = http://evil.com

Пренасочване в Google Търсене

Търсене в Google има вариант на този брой. Всяка връзка, която виждате на страница с резултати от търсенето, всъщност е пренасочване от Google, което изглежда по следния начин: 

https://www.google.com/url?& ved =& url =& usg =

Това им помага да следят кликванията за целите на анализа, но също така означава, че всяка страница е индексирана от Google всъщност генерира пренасочваща връзка от собствения домейн на Google, за която може да се използва фишинг.

Всъщност това е така вече е експлоатиран няколко пъти в природата, но Google очевидно не смята, че е достатъчно уязвимост, за да премахне функционалността за пренасочване.

Cross-Site Scripting

Сценариите между сайтове (обикновено съкратени до XSS) се появяват, когато сайтът не обработва правилно въведеното от потребителите, позволявайки на хакерите да вмъкват злонамерен JavaScript код.

JavaScript ви позволява да модифицирате или дори напълно да пренапишете съдържанието на дадена страница.

XSS приема няколко често срещани форми:

  • Отразена XSS: Зловредният код е част от заявката към страницата. Това може да бъде под формата на URL като http://vulnerable.com/message.php?
  • Съхранен XSS: JavaScript кодът се съхранява директно на собствения сървър на сайта. В този случай фишинг връзката може да е напълно легитимен URL адрес, без нищо подозрително в самия адрес.

Свързани: Как хакерите използват скриптове между сайтове

Не се заблуждавайте

За да избегнете измама от някоя от тези сенчести връзки, прочетете внимателно целевия URL адрес на всички връзки, които идвате във вашите имейли, като обръщате специално внимание на всичко, което може да изглежда като пренасочване или JavaScript код.

За да бъдем честни, това не винаги е лесно. Повечето от нас са свикнали да виждат URL адреси от посещаваните от нас сайтове с куп „боклуци“, залепени след домейна, и много сайтове използват пренасочване в законните си адреси.

Кодирането на URL е начин за представяне на знаци с помощта на знака за процент и двойка шестнадесетични знака, използвани за знаци в URL адреси, които могат да объркат браузъра ви. Например, / (наклонена черта напред) се кодира като % 2F.

Помислете за следния адрес: 

http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6D

След декодирането на URL кодирането се решава до: 

http://vulnerable.com/go.php? url = http://evil.com

Да, това е отворено пренасочване!

Има няколко начина, по които нападателят може да се възползва от това:

  • Някои лошо проектирани филтри за защита на имейлите може да не декодират правилно URL адресите, преди да ги сканират, което позволява на явно злонамерени връзки да преминат.
  • Вие като потребител можете да бъдете подведени от странно изглеждащата форма на URL адреса.

Въздействието зависи от това как браузърът ви обработва връзки с кодирани URL адреси. В момента Firefox декодира напълно всички в лентата на състоянието, което смекчава проблема.

Chrome, от друга страна, ги декодира само частично, показвайки следното в лентата на състоянието: 

уязвими.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.com

Тази техника може да бъде особено ефективна, когато се комбинира с един от горепосочените методи за генериране на злонамерена връзка от надежден домейн.

Как да избегнем да бъдете измамени: Отново, внимателно проверявайте URL адресите на всички връзки, които попадате в имейли, като обръщате специално внимание на потенциалните кодирани URL адреси. Внимавайте за връзки с много знаци за процента в тях. Ако се съмнявате, можете да използвате a URL декодер за да видите истинската форма на URL адреса.

Разширени техники за заобикаляне на филтрите

Някои техники специално имат за цел да заблудят имейл филтрите и анти-зловредния софтуер, а не самите жертви.

Промяна на логотипите на марките, за да се заобиколят филтрите

Измамниците често се представят за доверени компании, като включват логата им във фишинг имейли. За да се борят с това, някои филтри за сигурност ще сканират изображенията на всички входящи имейли и ще ги сравняват с база данни с известни фирмени лога.

Това работи достатъчно добре, ако изображението се изпраща непроменено, но често правенето на няколко фини модификации на логото е достатъчно, за да се заобиколи филтъра.

Неясен код в прикачени файлове

Добрата система за защита на имейли ще сканира всеки прикачен файл за вируси или известен злонамерен софтуер, но често не е много трудно да се заобиколят тези проверки. Замъгляването на кода е един от начините да направите това: Атакуващият модифицира злонамерения код в сложна, заплетена бъркотия. Резултатът е същият, но кодът е труден за дешифриране.

Ето няколко съвета, за да не бъдете засечени от тези техники:

  • Не се доверявайте автоматично на изображения, които виждате в имейли.
  • Помислете за напълно блокиране на изображения във вашия имейл клиент.
  • Не изтегляйте прикачени файлове, освен ако нямате абсолютно доверие на подателя.
  • Знайте, че дори преминаването на сканиране за вируси не гарантира, че файлът е чист.

Свързани: Най-сигурните и криптирани доставчици на електронна поща

Фишингът не води до никъде

Истината е, че не винаги е лесно да се открият опити за фишинг. Филтрите за нежелана поща и софтуерът за наблюдение продължават да се подобряват, но много злонамерени имейли все още се изплъзват през пукнатините. Дори опитни опитни потребители могат да бъдат заблудени, особено когато атаката включва особено сложни техники.

Но малко осъзнаване върви далеч. Като се запознаете с техниките на измамниците и спазвате добри практики за сигурност, можете да намалите шансовете си да станете жертва.

електронна поща
Как да подобрите внимателността си с добри практики за сигурност

Чувствате ли се стресирани от потенциалните кибератаки? Ето как добрите практики за сигурност могат да помогнат за насърчаване на вниманието.

Свързани теми
  • Сигурност
  • Фишинг
  • Онлайн сигурност
За автора
Наджиб Рахман (3 статии публикувани)Още от Najeeb Rahman

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!

Още една стъпка…!

Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.

.