Mange svindel-e-postmeldinger er smertefullt åpenbare for erfarne nettbrukere. Stavefeil, absurde scenarier og tvilsomme vedlegg er vanligvis tydelige tegn på ondskap.

I virkeligheten er imidlertid ikke alle phishing-forsøk så åpenbare og antar at de er, kan føre til en falsk følelse av sikkerhet. Noen er så nøye utformet at de er i stand til å lure selv de mest kyndige brukere.

Phishing-e-post er spesielt overbevisende når de misbruker noen av de avanserte teknikkene vi diskuterer i denne artikkelen.

Når vi tenker på nettstedssårbarheter, bilder av store hack og katastrofale datainnbrudd våren til tankene. Men de vanligste sårbarhetene er mye mer fotgjengere.

De resulterer vanligvis ikke i en fullstendig overtakelse av et nettsted, men gir i stedet angripere noen slags små vinne, for eksempel tilgang til noe privilegert informasjon eller muligheten til å sette inn litt ondsinnet kode i en side.

Enkelte typer sårbarheter gjør det mulig å utnytte domenet til et nettsted for å opprette en URL som ser ut til å stamme fra siden til siden, men som faktisk er under kontroll av hackeren.

instagram viewer

Disse “legitime” nettadressene er ekstremt nyttige for svindlere på e-post fordi de er mer sannsynlig å omgå filtre eller unngå oppmerksomhet fra ofre.

Åpne viderekoblinger

Nettsteder har ofte et behov for å omdirigere brukere til et annet nettsted (eller en annen side på samme nettsted) uten å bruke en vanlig lenke. En URL for viderekobling kan ha et skjema som: 

http://vulnerable.com/go.php? url =

Dette kan hjelpe selskaper med å holde rede på viktige data, men blir et sikkerhetsproblem når noen kan utnytte en viderekobling for å opprette en lenke til hvilken som helst side på nettet.

For eksempel kan en svindler utnytte din tillit til vulnerable.com for å opprette en lenke som faktisk sender deg til evil.com: 

http://vulnerable.com/go.php? url = http://evil.com

Viderekobling i Google Søk

Google-søk har en variant av dette problemet. Hver lenke du ser på en søkeresultatside, er faktisk en viderekobling fra Google som ser omtrent slik ut: 

https://www.google.com/url?& ved =& url =& usg =

Dette hjelper dem med å holde oversikt over klikk for analyseformål, men betyr også at alle sider er indeksert av Google genererer faktisk en viderekobling fra Googles eget domene, som kan brukes til phishing.

Faktisk har dette allerede blitt utnyttet flere ganger i naturen, men Google anser tilsynelatende ikke det som et sårbarhet for å fjerne omdirigeringsfunksjonaliteten.

Tverrstedsskripting

Skripter på tvers av nettsteder (ofte forkortet til XSS) oppstår når et nettsted ikke renser innspill fra brukere ordentlig, slik at hackere kan sette inn skadelig JavaScript-kode.

JavaScript lar deg endre eller til og med omskrive innholdet på en side.

XSS tar et par vanlige former:

  • Reflektert XSS: Den ondsinnede koden er en del av forespørselen til siden. Dette kan ha form av en nettadresse som http://vulnerable.com/message.php?
  • Lagret XSS: JavaScript-koden lagres direkte på nettstedets egen server. I dette tilfellet kan phishing-lenken være en helt legitim nettadresse uten noe mistenkelig i selve adressen.

I slekt: Hvordan hackere bruker skripting på tvers av nettsteder

Ikke la deg lure

For å unngå å bli lurt av en av disse skyggefulle koblingene, må du lese destinasjons-URL-en nøye til koblingene du kommer i e-postene dine, og vær spesielt oppmerksom på alt som kan se ut som en viderekobling eller JavaScript kode.

For å være rettferdig er dette ikke alltid lett. De fleste av oss er vant til å se nettadresser fra nettstedene vi besøker med en haug med "søppel" som er fulgt med etter domenet, og mange nettsteder bruker omdirigering i sine legitime adresser.

URL-koding er en måte å representere tegn ved hjelp av prosenttegnet og et par heksadesimale tegn, brukt til tegn i URL-er som kan forvirre nettleseren din. For eksempel, / (skråstrek fremover) er kodet som % 2F.

Tenk på følgende adresse: 

http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6D

Etter at URL-kodingen er dekodet, løser den seg å: 

http://vulnerable.com/go.php? url = http://evil.com

Ja, det er en åpen viderekobling!

Det er et par måter en angriper kan dra nytte av dette:

  • Noen dårlig utformede sikkerhetsfiltre via e-post dekoder kanskje ikke riktig URL-er før de skannes, slik at åpenbart ondsinnede lenker kan komme gjennom.
  • Du som bruker kan bli villedet av den merkelige URL-formen.

Effekten avhenger av hvordan nettleseren din håndterer lenker med URL-kodede tegn. For øyeblikket dekoder Firefox dem alle i statuslinjen, noe som reduserer problemet.

Chrome derimot dekoder dem bare delvis, og viser følgende i statuslinjen: 

vulnerable.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.com

Denne teknikken kan være spesielt effektiv når den kombineres med en av metodene ovenfor for å generere en ondsinnet lenke fra et pålitelig domene.

Hvordan unngå å bli lurt: Igjen, inspiser nettadressene til koblinger du kommer over i e-post nøye, og vær spesielt oppmerksom på potensielle URL-kodede tegn. Se på koblinger med mange prosenttegn i. Hvis du er i tvil, kan du bruke en URL-dekoder for å se den virkelige formen for URL-en.

Avanserte teknikker for omgåelse av filtre

Noen teknikker har som mål å lure e-postfiltre og anti-malware programvare i stedet for ofrene selv.

Endre merkevarelogoer til bypass-filtre

Svindlere imiterer ofte pålitelige selskaper ved å inkludere logoer i phishing-e-post. For å bekjempe dette, vil noen sikkerhetsfiltre skanne bildene av innkommende e-post og sammenligne dem med en database med kjente firmalogoer.

Det fungerer bra nok hvis bildet sendes uendret, men det er ofte nok å gjøre noen få subtile endringer i logoen for å omgå filteret.

Forvirret kode i vedlegg

Et godt e-postsikkerhetssystem skanner alle vedlegg for virus eller kjent skadelig programvare, men det er ofte ikke veldig vanskelig å omgå disse kontrollene. Code obfuscation er en måte å gjøre dette på: Angriperen endrer den ondsinnede koden til et forseggjort, sammenfiltret rot. Utgangen er den samme, men koden er vanskelig å tyde.

Her er noen tips for å unngå å bli fanget av disse teknikkene:

  • Ikke stol på bilder du ser i e-post automatisk.
  • Vurder å blokkere bilder helt i e-postklienten din.
  • Ikke last ned vedlegg med mindre du absolutt stoler på avsenderen.
  • Vet at selv å bestå en virusscanning ikke garanterer at en fil er ren.

I slekt: De sikreste og krypterte e-postleverandørene

Phishing kommer ikke noe sted

Sannheten er at det ikke alltid er lett å oppdage phishing-forsøk. Søppelpostfiltre og overvåkingsprogramvare fortsetter å forbedre seg, men mange ondsinnede e-poster glir fremdeles gjennom sprekkene. Selv erfarne strømbrukere kan bli lurt, spesielt når et angrep involverer spesielt sofistikerte teknikker.

Men litt bevissthet kommer langt. Ved å gjøre deg kjent med svindlerens teknikker og følge god sikkerhetspraksis, kan du redusere sjansene for å bli offer.

E-post
Hvordan du kan forbedre oppmerksomheten din med god sikkerhetspraksis

Føler du deg stresset over potensielle nettangrep? Her er hvordan god sikkerhetspraksis kan bidra til å fremme oppmerksomhet.

Relaterte temaer
  • Sikkerhet
  • Phishing
  • Online sikkerhet
Om forfatteren
Najeeb Rahman (3 artikler publisert)Mer fra Najeeb Rahman

Abonner på vårt nyhetsbrev

Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Ett steg til…!

Bekreft e-postadressen din i e-posten vi nettopp sendte deg.

.