Yeni Bilgi Balıkçılık e -postaları alın, bunlara dikkat edebilirsiniz
Son zamanlarda, posta kutusunda bir balıkçı posta gördüm. Son e -posta sistemi birçok kez balık tutma postası tarafından saldırıya uğradığından, çalışma ilkelerini ve önleyici tedbirlerini birlikte analiz etmek için bu balıkçı postasını örnek olarak almak istiyorum.
E -posta, aşağıdaki şekilde gösterildiği gibi, işlenecek bir ek şeklinde bir virüs klasörüne yerleştirilmiştir:
Eki (virüs postası) indirdikten sonra, FoxMail gibi posta istemcisi aracılığıyla açtıktan sonra (burada hiçbir deneyim kullanıcının sanal alanında veya sanal makinede çalışması önerilir) ve yalnızca NG5C1 adlı bir .jpg resim dosyası içerdiğini bulmak önerilir. .
Balıkçılık postasının ana fonksiyonel kodu ek resmindedir. İşletim sisteminin ilgili güvenlik açıkları (arabellek taşması gibi) varsa, kullanıcı resmi açıldığında veya işlendiğinde kullanıcı güvenlik açığını (taşma gibi) kullanır. Bu kötü niyetli talimatlar, Resim Trojan Sentez Aracı veya DOS komutu aracılığıyla resme eklenebilir. Bu resmi onaltılık ile açıyoruz. Aşağıda gösterildiği gibi:
Kodun nihayet bu resmi, kullanıcının Bitcoin ile ilgili promosyon prosedürlerini indirmek için kullanıcıya göz atmak için tıklamasıyla gösterdiğini görebiliriz. Şekildeki IP ekran sunucusu yurtdışında. Yazarın deneyimine göre, EXE Promosyon Programı, kullanıcı bilgisayar bilgilerini çalmak, yayma ve hatta kendi onarımı gibi işlevlere de sahip olabilir. Sızdırmazlık postası balıkçılık postasının temel özelliklerine sahiptir.
Peki balıkçılık postası tam olarak nedir?
Balıkçılık e -postası, alıcı hesapları, kamuflaj e -mail gibi şifreler gibi önemli bilgileri elde eden veya alıcıya belirli sayfalara ve belgelere göz atmaya rehberlik eden elektronik bir sahtekarlığı ifade eder.
Aslında, bu örnekte, bu e -postanın e -posta üstbilgisini dikkatle analiz ettik ve bu e -postanın sahte Google Gmail e -posta hizmeti aracılığıyla bir Rus hacker olduğunu ve göndereni göndermek için manierca92@gmail.com'u kullanabiliriz. Displayer. Neden dövüldüğüne gelince, aşağıdakiler dahil edilecektir.
Aşağıda, yazar okuyucuların prensibi daha iyi anlamalarını kolaylaştırmak için balıkçılık e -postalarının sürecini ve saldırısını gösterecektir. Örnek olarak iyi bilinen bir alışveriş web sitesinin belirli bir hazinesini alıyoruz (yazar, makaledeki şablonun yalnızca yasadışı saldırılar gibi yasadışı saldırılar olmadan test için olduğunu vaat ediyor):
bir. Güvenilir web sitesinde dövüş
Balıkçılıktan önce, kullanıcıların giriş hesapları ve şifreleri gibi önemli bilgileri almak için giriş yapmaları için kullanıcıları baştan çıkarmaya güven duydukları bir web sitesi oluşturmamız gerekiyor. Burada klonlama web sitesini aşağıda gösterildiği gibi ayarlı araç aracılığıyla sarıyoruz:
Web sitesinin adresinin www.taoba0.com olduğunu lütfen unutmayın. Resmi web sitesi www.taobao.com ile karşılaştırıldığında, balıkçı web sitesinin büyük bir karışıklığı var. Genel olarak konuşursak, www.taobao.xxx.com gibi aşağıdaki balıkçılık web siteleriyle de karşılaşabiliriz. Saldırgan, xxx.com alan adı için başvuracak ve ardından Alt alan adını aldatma için kaydedecektir. Alternatif olarak, gibi, kablolar ve diğer yöntemler ekleyerek kullanıcıları aldatın.
Bu örnekte, kullanıcı www.taoba0.com web sitesi şifre giriş formunda ilgili bilgileri girdiğinde, kullanıcının ilgili hesap bilgileri belirlenen kullanıcıya gönderilir. Aşağıda gösterildiği gibi:
iki. E -postayı dövmek
Kullanıcıların balıkçılık bağlantısını tıklamasına ve hesap bilgilerini çalmasına nasıl izin verilir? Bu, sosyal mühendislik kategorisini içerir. Genellikle bir geri ödeme bildirimi, kazanma bildirimi, yama yükseltmesi ve diğer çekici başlık içeriği görürüz. Örnek söz konusu olduğunda, bağlantıyı yayınlamak için -sales sorgulama ve diğer ilgili bilgilerden sonra geri dönüş, iade başvurusu veya başvuru bildirimini oluşturabiliriz.
Burada önce sosyal mühendisliğin tanımını anlıyoruz. Sosyal mühendislik, kişilerarası iletişim yoluyla bilgi elde etmek için teknik olmayan bir infiltrasyon yöntemidir. Bilgisayar korsanları için, belki bir kullanıcı adı, bir dizi sayı veya İngilizce kodu, kendi kendini tanımlayan bir metin ve tarama ve sıralama yoluyla, tüm kişisel bilgileri, aile koşullarını, hobileri, evlilik durumunu, internet erişimini izlemeleri vb. Yapabilirsiniz. Kişisel bilgiler temelde ustalaşır.
Bir balıkçılık web sitesi yaptıktan ve kullanıcı hesabı bilgilerini kabul etmek için kod yazdıktan sonra, web sitesi bağlantısını yayınlayabiliriz. Aşağıda gösterildiği gibi:
Müşterinin posta kutusu hizmeti , teknik yollarla servis@taobao.com'u, posta kutumuza bir balıkçı posta göndererek taklit ettik. E -postaların ekran görüntüleri aşağıdaki gibidir:
Gelen kutusundan anormallik olmadığını görebiliriz. Tabii ki, sadece e -postanın içeriğini burada yapıyoruz. Gerçek balıkçılık sürecinde, bilgisayar korsanları e -postanın içeriğini daha gerçekçi hale getirecek ve bu tür posta grubunu gönderecektir. Bir kullanıcı tıklaması varsa, hesabının ilgili bilgileri yukarıda gösterildiği gibi belirlenen kişi olarak verilecektir.
Balıkçılık e -postalarının temel prensiplerini anladıktan sonra, balıkçılık e -posta tanımlamasının önleme önlemlerini tartışacağız.
Bir sunucu olarak, aşağıdaki önlemler genellikle alınır:
1. E -posta Ağ Geçidi Ters Sorgusu E -posta kaynağının alan adı. Alan adı MX (e -posta değişimi kaydı) olarak ayarlanmazsa veya MX kaydı yoksa, ağ geçidi e -postayı atar. MX'in rolü, bu alan adının e -posta sunucusunu gönderene belirtmektir.
2. Bazı e -posta sunucuları, posta içeriğinin içeriğinin ve posta kutusunun ilgili etki alanı adının, postanın normal olup olmadığını belirlemek için iş eşleşmesi sağlayıp sağlamadığını belirleyebilen whois işlevlerine sahiptir.
3. SPF teknolojisi
SPF, DNS ile ilgili bir teknolojidir. İçeriği DNS'nin TXT Türü kaydında yazılmıştır. SPF'nin rolü MX'in tam tersidir. Posta kutusu alan adını ve sabit IP kaynağını bağlayan ters bir DNS olarak anlaşılabilir. Alıcıya, e -posta sunucularının e -posta göndermek için alan adı tarafından tanındığını gösterir. Esas olarak gönderen dövme alan adlarının tehlikeli e -postasına yöneliktir. Örneğin, yukarıda, gönderenin e -postasını servis@taobao olarak oluşturuyoruz. SPF değerinin e -posta başlığını sorgulayarak başarısız olduğunu göreceğiz, bu da mühürün Taobao'dan bir e -posta adresi göndermek yasadışı olduğunu gösteriyor. Aşağıda gösterildiği gibi:
Bunu görünce, bu makalenin başında Rus hackerlar tarafından kullanılan Gmail posta kutusu adresinin neden sahte olduğunu anlamalısınız.
4. DKIM teknolojisi
DKIM, Etki Alanı Anahtarı Posta tanımlayın, Çince adı alan adı anahtar tanıma e -posta standardıdır. Yahoo'nun Domainky teknolojisinin, Cisco'nun tanımlama posta teknolojisi ile birlikte ürünüdür.
DKIM'in temel çalışma prensibi geleneksel anahtar sertifika yöntemlerine dayanmaktadır. İki set anahtar, genel anahtar ve özel anahtar üretecektir. Genel anahtar DNS'de saklanacak ve özel anahtar gönderen sunucuda saklanacaktır. Dijital imzalar otomatik olarak oluşturulacak, posta kafasına eklenecek ve sunucunun sunucusuna gönderilecektir. Genel anahtar, otomatik elde etmek için DNS sunucusuna yerleştirilir. Mektubu alan sunucu, posta başlığındaki klibin imzasını alacak ve DNS'deki genel anahtarı alacak ve daha sonra karşılaştırın. Mektubun alan adının yasal olup olmadığı. Yasadışı ise, tehlikeli bir posta.
Basitçe söylemek gerekirse, gönderen e-postanın başlığına DKIM imzası ve elektronik imza bilgilerini ekleyecektir. Alıcı, DNS sorgusu aracılığıyla genel anahtar alındıktan sonra doğrulandı.
Google'ın Gmail gibi birçok yabancı posta servis sağlayıcısı DKIM teknolojisini kullanıyor. Yerli posta servis sağlayıcılarının çoğu bu teknolojiyi tehlikeli postaları engellemek için kullanmamıştır.
Sıradan kullanıcılar olarak, aşağıdaki yöntemlerle balık tutma postasını önleyebiliriz:
1. E -posta başlığının kaynak IP'sini kontrol ederek güvenilir olup olmadığını onaylayabilirsiniz. Aşağıda gösterildiği gibi:
2. Posta kutusu XXX tarafından gönderilmeyi isterse, yani gönderen, dikkatimizi çekecek gerçek gönderenle tutarlı değildir. Foxmail gibi, ekranın ayarlama işlevini sağlar.
3. Yukarıda belirtilen orijinal kod aracılığıyla SPF'nin değerini gözlemleyin. Farklı değerlerin anlamı aşağıda gösterildiği gibidir:
4. Tabii ki, belirli bir bilgisayar temelimiz varsa, posta sunucusunun MX ayarları olup olmadığını da kontrol edebiliriz.
Windows: nslookup -type = mx qq.com (qq posta kutusu hizmetini örnek olarak ele alalım)
Linux: Dig mx qq.com
5. Kullanıcıya posta kutusundaki bağlantılarda ve eklerde dikkatli davranılmalıdır. Körü körüne açmayın veya tıklamayın.
Balık tutmanın aldatmaca yöntemi sadece inatçı olmayacak. Ekonomik kayıplara neden olmanın yanı sıra, ciddi bir siyasi krize de neden olabilir. Bu nedenle, her zaman e -postanın tanımlanmasını korumalı ve izole veya uyarılan postayı dikkatlice çalıştırmalıyız. Saldırı belirtileri bulduktan sonra, bu makine ağını hemen ayırın, kişisel hesap bilgilerini mümkün olan en kısa sürede değiştirin ve profesyonellerden bilgisayar sistemini kontrol etmelerini isteyin.
