Имейл спам от типа фишинг измама представлява подправено имейл съобщение, чиято цел е да излъже потребителите да въведат лична информация (номер на кредитна карта или други чувствителни данни) на фалшив уебсайт, като за целта подателят използва имейл адрес, подправен така, сякаш идва от известна фирма, марка, банка или финансова институция, като PayPal.

В тази публикация ще насочим вниманието ви към един от многото измамни имейли (фишинг измама – от англ. phishing scam), които със сигурност всеки от вас е получавал в електронната си поща. В този пример подателите се представят от името на PayPal, като използват подправен шаблон от същата компания. От приложения скрийншот на имейл съобщението и неговия изходен код, съдържащ имейл хедърите, може да заключим, че това е много аматьорски подправен имейл, чиято цел е да ви подведе да натиснете бутона ACTIVATE ACCOUNT и да последвате хиперлинка.

Фишинг измама с PayPal – Анализ

Измамата се забелязва още преди да сме отворили имейл съобщението – за подател е посочен PayPaI Inc. – буквата „ел“ e подменена с главно „ай“, които изглеждат близки и лесно биха заблудили получателя, ако той не се вгледа внимателно. Допусната е и грешка в думата Information в предмета на писмото, което е малко вероятно да се случи при финансова институция като PayPal. Да погледнем имейла на подателя – <No-reply@security.com>. Не е ли съмнително? Какво общо има security.com с PayPal? По всичко личи, че имейла на подателя е подправен и то доста неумело.

Нека да отворим изходния код на имейла (Ctrl+U) и да прегледаме хедърите. Ясно се вижда, че PayPal не е изпратил този имейл:

Received: from 905243.vps-10.com ([212.48.70.99]:44674)

Ето как изглежда полето Received на имейл изпратен от оторизиран имейл сървър на PayPal:

Received: from outbound.emea.e.paypal.com ([96.47.30.222]:53295)

Забележете, че адреса на сървъра завършва с paypal.com.

Продължаваме с анализа. DKIM проверката за удостоверяване на подателя е невалидна. За целта използваме разширение към имейл приложението Mozilla Thunderbird.

DKIM (DomainKeys Identified Mail) е механизъм за удостоверяване на подателя и автентичността на съдържанието на изпратените от този подател имейл съобщения.

Както SPF, така и DKIM системата е създадена, за да защитава получателите и подателите, от измамни и спам имейл съобщения. Тези технологии помагат на легитимните податели да докажат, че изпращаните от тях имейл съобщения не са фалшифицирани, което може да предотврати попадането на легитимен имейл в папката Spam.

Източник: Суперхостинг.БГ

Дотук имаме достатъчно на брой причини да изтрием имейла. Все пак ще прегледаме и съдържанието на писмото, което дори не е бегло копие на имейлите, изпращани от PayPal. Подправено е много аматьорски; изключително нискокачествен фалшификат. В заглавието с големи букви се съобщава, че има промяна в общите условия на компанията. Следва по-дребен шрифт, който ви подканва да се впишете в акаунта, забележете, по най-бързия начин, защото има някакъв проблем с него. Има недомислен текст и куп грешки, които няма смисъл да изброяваме. В средата на съдържанието е поставен голям бутон с надпис ACTIVATE ACCOUNT. Ролята му е да насочи вниманието ви към действието, вместо към останалия текст в съобщението.

Представяме си, че не разпознавате фалшифицирания имейл и не сте прочели текста в него. Идеята е да се подведете и да натиснете бутона ACTIVATE ACCOUNT. Посочвайки с мишката върху него, в лентата на състоянието в долната част на прозореца ще се покаже връзката, която би следвало да посетите. Да уточним, че посочването и натискането с мишката са две различни действия. Ето го и хиперлинка, който определено не води към уебстраниците на PayPal:

paypa.lusa.world-costumeronp.home.flog.system.rjandassociatescoding.com/signin/

Връзката ще ви отведе до фалшифициран уебсайт, създаден с една единствена цел – да открадне чувствителна информация като достъп до PayPal акаунта ви, лични данни, кредитни карти.
Не е изключена вероятността след отваряне на уебсайта на компютъра ви да се изтегли злонамерен софтуер, чрез който да се извършат нелегитимни или зловредни действия. Затова внимателно преглеждайте имейлите и при най-малкото съмнение, извършвайте проверка, както ви показахме в тази публикация.

Прочетете и нашите съвети за предпазване от зловреден софтуер.