Онлайн заработок, создание и монетизация сайтов, веб-разработка, SEO и SMO продвижение, фриланс, партнерки, полезные сервисы вебмастерам, блоггинг.

Wordpress шаблоны
Главная » Сервисы и сайты » Осторожно, фишинговые письма! Алгоритм выявления фишинга

Как определять фишинговые письма? — нюансы и советы

Защита от письма с фишингомОпытные пользователи наверняка знают как выявлять фишинговые письма, но очень многие люди, к сожалению, до сих пор попадаются на этот обман и теряют деньги. Основная задача подобного вида интернет-мошенничества заключается в получении (выуживании) информации о логинах/паролях в разных сервисах. Сегодня хочу рассмотреть пример письма с фишингом и алгоритм его выявления дабы обезопасить тех юзеров, кто еще не в курсе. 

Как правило, целью злоумышленников являются ваши данные для входа в учетные записи финансовых сайтов: интернет-банкингов или платежных систем. Чуть реже атакам подвергаются аккаунты социальных сетей, Google и других проектов.

Общая схема обмана

Все реализуется через массовые рассылки по почте, которые маскируются под «важные» сообщения с соответствующих сервисов. Здесь используются разные приемы социальной инженерии дабы заставить человека выполнить нужные действия, например:

  • приходит уведомление о подозрительной активности в вашем аккаунте и фраза мол необходимо «сменить пароль«, «восстановить доступ«, «пройти проверку» и т.п.
  • делается акцент на срочности и крайней важности события с упоминанием соответствующих слов — это вызывает у пользователя лишние эмоции, мешающие мыслить трезво.
  • присылаются фишинговые письма под видом простых уведомлений — у вас «новое сообщение«, «новый лайк«, «важная информация от менеджера» и т.п.
  • иногда приходят заметки с информацией о финансовый переводах (поступлениях или «еще лучше» снятии денег с баланса).

Во всех этих случаях злоумышленник хочет чтобы пользователь перешел по нужной ему ссылке. Дальше человек попадает на сайт, дизайн которого максимально соответствует оригинальному сервису, и там уже передает свои данные третьей стороне, ничего не подозревая. Возможно, есть какие-то другие вариации, но в общих чертах принцип именно такой.

Пример фишингового письма

Недавно мне на почту пришло весьма интересное уведомление.

Пример фишингового письма

Собственно, это один из тех вариантов, о которых я говорил выше — система Payoneer вроде как информирует меня о новом платеже. Причем Gmail не только поставил пометку «Важные письма», но и определил его в финансовую категорию!

Если открыть сообщение, увидим:

Пример фишингового письма

На первый взгляд содержимое смотрится красиво и достоверно, даже ФИО отправителя вполне адекватное для наших широт. Но все не так просто!

Приблизительный алгоритм обнаружения фишинга

1. Если письмо кажется вам подозрительным — это первый признак того, что нужна тщательная проверка. В моем случае удивило то, что в самом Payoneer не зарегистрирован (насколько я помню), поэтому было странно получить перевод:)

2. Во-вторых, нужно отбросить эмоции — все эти «ваш аккаунт будет заблокирован«, «вы выиграли деньги«, «срочно смените пароль» и т.п. рассчитаны в первую очередь на то, дабы пользователь как можно меньше думал в данный конкретный момент.

3. Самый примитивный вариант фишинга в письме — подмена адреса почты, например, замена буквы «о» на «0» (ноль), изменение регистра или добавление лишних букв. Дабы не всматриваться в каждый символ, советую просто скопировать email отправителя и закинуть его в Google поиск. Кроме определения фейка можете обнаружить обсуждения похожих ситуаций у других пользователей.

4. Лично у меня подобный подход не сработал, т.к. в заголовке отображался вполне реальный и правильный адрес сервиса Payoneer. В таком случае нужно просмотреть «Оригинальную версию» сообщения. В Gmail это выполняется с помощью выпадающего меню (см. предыдущий скриншот). В итоге на странице отобразится что-то вроде:

Gmail оригинальная версия сообщения

Здесь полно информации и разных параметров по конкретному письму. Если честно, во всех этих деталях я не силен, но знаю, что с помощью софта вполне реально сделать подмену почты (поэтому на предыдущем шаге она выглядела корректно).

В моей ситуации было несколько странных вещей:

  • во-первых, отправка email рассылки через какую-то левую программу Leaf PHPMailer 2.7;
  • во-вторых, сообщение не прошло проверки SPF / DMARC от Gmail (domain of noreply@payoneer.com does not designate224.118.117 as permitted sender);
  • в-третьих отправка осуществлялась с обычного VPS хостинга (hostde7.fornex.org).

5. Ну, и финальная стадия алгоритма — посмотреть какая информация содержится в предполагаемом фишинговом письме, куда ведут те или иные ссылки, что вам предлагается сделать. Заглянуть в исходный код кнопки можно с помощью инструмента «Инспектор кода» в браузере:

Инспектор кода для поиска фишинга

Как видите, данная кнопка ведет на адрес, который лишь похож на Payoneer, но является совершенно другим сайтом. Конечно же, там дизайн 1 в 1 как на оригинале, но введенный логин и пароль попадет злоумышленникам.

Еще раз присмотревшись к своему примеру фишинговые письма, обнаружил, что иконки социальных сетей в самом низу вообще не содержат исходящих ссылок. Короче говоря, вывод один — это фишинг!

Если следовать данному алгоритму и не спешить, то вы сможете обезопасить себя от подобного мошенничества. После того, как определили поддельное письмо, обязательно выбирайте в выпадающем меню Gmail пункт «Сообщить о фишинге». Это позволит разработчикам улучшить текущие спам-фильтры.

Если у вас были подобные ситуации пишите ниже, либо сбрасывайте дополнительные советы как различать фишинг в письмах.

18.09.17

Категории: Сервисы и сайты.

Теги: , , , , , ,

5 Comments
  1. seoonly.ru

    Спасибо!

  2. Filip

    В большинстве случае обычной проверки почты достаточно дабы понять, что в письме фишинг.. но в примере авторы рассылки заморочились слегка. Правда, смысл вставлять соц.кнопки без ссылок — это же палево)

  3. Tod

    Filip, аналогично не понял этот прикол, зачем было добавлять вообще.

  4. BorisB

    Недавно похожие письма приходили на почту, думал, может кто задонатил, но ведь у меня никогда и кошелька не было в этом Payoneer)) А на самом деле вот оно че.

  5. Yuri

    Спасибо за статью. Не забывайте жаловаться на фишинг:
    https://antiphishing.ru/
    https://spam404.com/ (не доступен из РФ)
    https://rocit.ru/hotline
    Некоторые другие способы https://www.reg.ru/support/abuse/
    С помощью любого сервиса WHOIS можно найти контакты регистратора, провайдера или владельца сайта (если сайт взломан) и связаться с ними.

Добавить комментарий

Ваш e-mail не публикуется. Обязательные поля помечены *
Если вы комментируете впервые, то текст будет отправлен на модерацию.