Berücksichtigen Sie einige Aspekte der Informations- und Finanzinformationen sowie der Sicherheit im Internet. Wir betrachten insbesondere eine der Möglichkeiten, um über ein E-Mail-System (E-Mail) unbefugten Zugriff auf Geschäftskorrespondenz zu erhalten, sowie einen ähnlichen Zugang zur Durchführung von Finanztransaktionen über ein „Online“ -Zahlungssystem (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney) , Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney und andere) oder ein "Online" -Bankkontoverwaltungssystem, dh es gibt eine Methode namens Phishing : Internet - Betrug, dessen Zweck darin besteht, Benutzeridentifikationsdaten (Benutzername und Passwort) zu erhalten.
Die Grundlage dieses Verfahrens besteht darin, die Identität des Opfers unter Verwendung einer gefälschten Stelle (im Folgenden als Phishing-Stelle bezeichnet) zu erhalten, die eine exakte Kopie der Gegenwart ist.
In der Praxis können zwei Arten von Angriffen unterschieden werden, um die gewünschten Informationen zu erhalten:
Ein Massenangriff von Benutzern wird verwendet, um die größte Menge an Identifikationsdaten zu erhalten, um Geld zu stehlen, Konten zu erstellen oder große Mengen an Informationen über das Bankennetzwerk zu sammeln.
Ein gezielter Angriff eines bestimmten Benutzers - um die größte Menge an Geschäfts- und Finanzinformationen über eine bestimmte Person oder juristische Person zu erhalten.
Der Aktionsalgorithmus ist in beiden Fällen der gleiche:
- Auswahl und Untersuchung des elektronischen Zahlungs-, Post- oder Online-Banking-Systems.
- Sammlung von Informationen über die Clients dieses Systems oder über einen bestimmten Client.
- Erstellung und Platzierung einer Phishing-Site im Netzwerk.
- Überweisung von Kunden eines echten Online-Systems an eine Phishing-Site.
Als nächstes betrachten wir praktisch diesen Algorithmus.
Auswahl und Untersuchung des elektronischen Zahlungs-, Post- oder Online-Banking-Systems.
Die Wahl eines Objekts hängt von der Erfahrung, dem technischen Support und dem spezifischen Zweck der Person ab, die mit Phishing befasst ist. Die Untersuchung des interessierenden Systems beginnt mit einem Besuch der Site und einer Untersuchung der Komponenten der Site.
Der Phisher achtet besonders auf den Abschnitt der Website „Anmelden im persönlichen Bereich von Systemkunden“ sowie auf die Bedingungen für die Verwendung dieses elektronischen Systems, den Bereich für technischen Support, den Bereich für Sicherheit, den Bereich für Nachrichten und Informationen sowie die E-Mail-Adressen der Dienste des betreffenden Systems.
Es ist auch möglich, dass der Phisher seinen persönlichen Bereich im interessierenden Online-System registriert, wodurch er zusätzliche Informationen für bessere Aktivitäten erhält.
Ein erfahrener Phisher verwendet die erhaltenen Informationen, um den Eindruck der größten Realität zu erwecken, die dem potenziellen Opfer widerfährt, während er sie an die Phishing-Site sendet.
Sammlung von Informationen über Clients oder einen bestimmten Client dieses Systems.
Die Methode zum Sammeln von Informationen hängt davon ab, welche Angriffe ausgeführt werden und welche Clients von den Online-Systemen angegriffen werden.
Grundlage dieser Operation ist die Erfassung von E-Mail-Adressen potenzieller Opfer - Kunden des Online-Systems, an die anschließend eine Informationsnachricht oder ein Brief gesendet wird, angeblich im Auftrag der Verwaltung einer realen Site oder eines Online-Systems, um das Opfer an eine Phishing-Site zu senden.
In der Regel wird ein Massenangriff von Benutzern auf Kunden eines E-Mail- oder Zahlungssystems ausgeführt, und leistungsstarke Botnetze werden zum Sammeln von E-Mail-Adressen (ein Programm ist ein Roboter, der E-Mail-Adressen für Spam-Listen sammelt) oder weniger leistungsfähige Programme zum Sammeln von Spam-Blättern wie Advanced verwendet E-Mail-Extraktor, E-Mail-Sammlung 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, E-Mail-Spider 9.0, Robospam, Extraktor für E-Mail-Adressen, E-MAILS HUNTER, NetTools. Einige dieser Programme verfügen über eine E-Mail-Sammlungsfunktion E-Mail-Adressen nach einem bestimmten Algorithmus - können die E-Mail-Adressen eines bestimmten E-Mail-Systems und in der Regel dasselbe elektronische Zahlungssystem erfassen, da die Anmeldung sowohl für das E-Mail- als auch für das Zahlungssystem gleich ist. Yandex und @ MAIL.RU dienen als Beispiel. Es ist zu beachten, dass @ MAIL.RU auch das Mailsystem @ inbox.ru, @ bk.ru, @ list.ru bedient.
Die Methode zum Sammeln von Informationen bei einem gezielten Angriff unterscheidet sich darin, dass Informationen über ein bestimmtes elektronisches Zahlungssystem (z. B. WebMoney, Egold), ein Online-Bankkontoverwaltungssystem und eine bestimmte Person oder juristische Person erfasst werden.
Der Hauptunterschied zwischen dieser Sammlung von Informationen besteht darin, dass der Phisher am Ende der Sammlung von Informationen nicht nur Informationen über die E-Mail-Adresse des potenziellen Opfers verwendet, sondern auch Angaben zu Bankkonten (Bankkonto und Korrespondenzkontonummer, Adresse der Bank oder ihrer Filiale, personenbezogene Daten des Eigentümers) Konten) sowie Kontodetails elektronischer Zahlungssysteme, die es ihm ermöglichen, ein besseres und zuverlässigeres Informationsschreiben an ein potenzielles Opfer und eine Phishing-Site zu erstellen.
In diesem Fall Internet-Informationssuchprogramme wie Internet EZ Search, Genius !, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey-Suchwerkzeug, LENIN INC-Suchmaschine, SpeedySearch oder Internet-Suchsysteme wie wie Yandex, Rambler, Google und andere.
Bei einer korrekt angegebenen Anfrage kann das Suchsystem mehrere hunderttausend Links zu den Details der Bankkonten von Einzelpersonen und Organisationen erstellen. Wenn Sie "Details unseres Girokontos" anfordern, gibt das Yandex-System etwa 400.000 Seitenlinks an Bankbenutzer mit Informationen aus, die für den Phisher, das Google-System, von Interesse sind - etwa 250.000 Links. Über 15.000 Links zur Anfrage "Details unseres Girokontos Alfa-Bank"
Erstellung und Platzierung einer Phishing-Site im Netzwerk.
Um die Identifikationsinformationen des Opfers zu erhalten, wird eine gefälschte Anmeldeseite erstellt, die mit der tatsächlichen Seite auf der Website des Online-Systems und der Serverseite des Skripts zur Verarbeitung der vom Opfer eingegebenen Daten identisch ist.
Die technische Seite des Erstellens einer Phishing-Site nimmt nicht viel Zeit in Anspruch, da eine vorgefertigte Seite der ursprünglichen Site kopiert wird (das Kopieren kann mit der Kopierfunktion eines Webbrowsers oder eines Kopierprogramms für Websites wie Teleport Pro, WebCopier, HTTrack, WebZip und andere erfolgen) und Mit dem HTML-Editor (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder und andere) wird eine Seitenfischer-Site erstellt.
Erfahrene Phisher erstellen zusätzlich eine oder mehrere Seiten der Site, um den Verdacht zu minimieren, dass das Opfer zur Phishing-Site geleitet wird. Der Informationsgehalt dieser Seiten kann sehr unterschiedlich sein, es gibt jedoch einige grundlegende zusammengesetzte Seiten einer Phishing-Site:
- Insbesondere wird gemäß dem gesendeten Informationsschreiben eine vorbereitete Seite gesendet, auf die das Opfer umgeleitet wird, nachdem es Identifikationsinformationen angegeben hat.
- Kopie der Hauptseite der ursprünglichen Site.
- Eine Seite mit einer Meldung über eine Serverstörung, zu der das Opfer umgeleitet wird, wenn es versucht, zu anderen Snares auf der Seite der Phishing-Site zu wechseln.
Eine solche Phishing-Site stellt keine Links her, die das Opfer zu realen Seiten der ursprünglichen Site weiterleiten, da das Besucherabrechnungssystem den Durchgang von den Seiten anderer Sites aufzeichnet und die Gefahr besteht, dass eine Phishing-Site vorhanden ist.
Unerfahrene Phisher erstellen in der Regel eine Seite der Site, auf der das Opfer die Identifikationsdaten eingeben muss, oder zusätzlich eine andere Seite, auf der er das Opfer darüber informiert, dass der Benutzername oder das Passwort falsch sind oder dieser Dienst vorübergehend nicht verfügbar ist, und fordert Sie auf, nach einiger Zeit erneut Kontakt aufzunehmen Zeit.
Das Muster ist wie folgt: Je erfahrener und professioneller der Phisher selbst ist, desto wahrscheinlicher sieht die Phisher-Site aus.
Eine Phishing-Site im Netzwerk wird auf zwei Arten gehostet:
Kostenloser Hosting-Server: Domain Zone "ru" - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND und andere; andere Domain-Zonen - ho (ua, org), AYOLA.net (com, net, biz), Bravanet (com), 007 Sites (com), 110 MB HOSTIHG (com) und andere.
Verwenden Ihres HTTP-Servers: Apache, kleiner HTTP-Server, Sambar-Server, KF-WEB-Server und andere, der auf dem Phisher-Computer oder auf dem Zombie-Computer installiert ist (speziell für solche Zwecke ein gehackter Computer).
Verweisen von Kunden eines echten Online-Systems auf eine Phishing-Site.
Das potenzielle Opfer wird durch Senden eines speziellen Informationsschreibens an seine E-Mail-Adresse an die Phishing-Site gesendet.
Für Massenangriffe potenzieller Opfer werden E-Mail-Spammer verwendet: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC-E-Mail-Spamer, Advanced Mass Sender und andere.
Für einen gezielten Angriff eines potenziellen Opfers werden sowohl die oben genannten "E-Mail-Spammer" -Programme als auch anonyme Mail-Sendeprogramme verwendet: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer und andere oder fast anonyme Server.
Es ist zu beachten, dass der Phisher mit fast anonymen Sendeprogrammen die E-Mail-Adresse des Absenders fälschen kann, dh er kann jede andere echte oder nicht vorhandene E-Mail-Adresse angeben. Es verwendet die erhaltenen Informationen über die Möglichkeit, die Dienste des Online-Systems zu kontaktieren, dh die tatsächliche E-Mail-Adresse des Online-Systems.
Textinhalt des Newsletters Es wird in Abhängigkeit vom angegriffenen "Online" -System und dem Inhalt der Phishing-Site entwickelt.
Der derzeit einfachste Newsletter ist eine Informationsnachricht, die den Login und das Passwort bestätigt:
-------------------------------------------------- -----------------------------
Sehr geehrter Benutzer, Yandex Mail Service!
Aufgrund eines Hackerangriffs auf den Yandex-Mailserver und der Wiederherstellung von Kundenkonten bitten wir Sie, auf die Yandex-Website zu gehen und Ihr Konto zu bestätigen
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Wir entschuldigen uns für
Unbequemlichkeit.
Mit freundlichen Grüßen Yandex Support.
Yandex-Mailbox ohne Spam und Viren.
-------------------------------------------------- -------------------------------
Sehr geehrter Benutzer, Alfa-Click Internet Banking System!
Aufgrund eines Hackerangriffs auf den Alfa-Click Internet Bank-Server und der Wiederherstellung von Kundenkonten bitten wir Sie, zum Alfa-Click Internet Bank-Server zu gehen und Ihr Konto zu bestätigen oder sich an Ihre Alfa Bank-Filiale zu wenden.
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Wir entschuldigen uns für etwaige Unannehmlichkeiten.
Mit freundlichen Grüßen Support-Service "online" des "Internet Bank Alfa-Click" -Systems.
Weitere Internetprojekte der Alfa Bank.
-------------------------------------------------- ------------------------------
Newsletter mit solchen Inhalten sind in der Regel nicht sehr effektiv, da sie seit langem verwendet werden und die meisten Benutzer von „Online“ -Systemen wissen, dass es sich um einen Internetbetrug handelt.
Ein plausiblerer Newsletter, der keinen Verdacht auf ein potenzielles Opfer erregt, kann folgendermaßen geschrieben werden:
-------------------------------------------------- ---------------------------
Hallo Benutzer!
Du hast eine Postkarte.
Postkartensender: XXXX
Um der Entdecker dieser Postkarte zu werden, klicken Sie auf den Link.
Bitte antworten Sie nicht auf diese Email.
Um eine Postkarte als Antwort zu senden, wählen Sie eine Postkarte auf der Yandex.Cards-Website aus oder zeichnen Sie mit Yandex.Colors
Yandex. Postkarten. Vor den Ferien geöffnet.
Hallo Polzovatel, du hast gerade eine Postkarte erhalten.
Um die Postkarte anzuzeigen, klicken Sie auf diesen Link.
Bitte beantworten Sie diese E-Mail nicht.
Yandex.Postkarten. Postkarten vor den Feiertagen.
-------------------------------------------------- ------------------------
Sehr geehrter Benutzer, Alfa-Click Internet Banking System!
Das Management der Alfa Bank kündigt eine Lotterie für Kunden der Alfa-Click Internet Bank an.
Sie werden sich mit den Teilnahmebedingungen an der Lotterie vertraut machen und können Ihre Teilnahme an der Lotterie bestätigen, indem Sie sich an die Alfa-Click Internet Bank oder an Ihre Alfa Bank-Filiale wenden.
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Mit freundlichen Grüßen Support-Service "online" des "Internet Bank Alfa-Click" -Systems.
Alfa-Click Internet Banking ist die Einfachheit und Geschwindigkeit der Verbindung zum System, da keine spezielle Software installiert werden muss.
Hauptbüro
107078, Moskau, st. Kalanchevskaya, 27
XML: NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495) 620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
-------------------------------------------------- ------------------------
Sehr geehrter Benutzer des Yandex.Money-Zahlungssystems!
Das Management des Yandex.Money-Zahlungssystems kündigt eine Lotterie für seine Kunden an.
Er wird sich mit den Teilnahmebedingungen an der Lotterie vertraut machen, und Sie können Ihre Teilnahme an der Lotterie bestätigen, indem Sie auf den Link klicken.
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Rabatte in diesem Monat. Mehr Details
Yandex-Mailbox ohne Spam und Viren.
-------------------------------------------------- ------------------------
Der Inhalt des Newsletters kann sehr unterschiedlich sein und die Berücksichtigung aller Optionen ist einfach nicht möglich. Auf der Website der Anti-Phishing-Arbeitsgruppe können Sie sich mit vielen Arten von Newslettern und Phishing-Sites vertraut machen.
Es ist vor Phishing-Angriffen und Sicherheitsprinzipien geschützt, wenn "Online" -Systeme verwendet werden.
Berücksichtigen Sie die Grundprinzipien der Sicherheit bei der Verwendung von "Online" -Systemen und sind Sie vor Phishing-Angriffen geschützt.
Die Hauptsache, an die sich Benutzer von Online-Systemen erinnern sollten:
- Der Support-Service des „Online“ -Systems sendet keine Informationsschreiben, in denen Wasser angefordert oder Identifikationsdaten bestätigt werden.
- Nach Erhalt eines solchen Schreibens erfolgt der Übergang zu diesem „Online“ -System nur über die Befehlszeile des Webbrowsers. Kopieren Sie den im Newsletter angegebenen Link nicht und geben Sie ihn nicht in die Befehlszeile des Webbrowsers ein.
- Geben Sie die erforderlichen Identifikationsdaten nicht ein, wenn der angegebene Link zur Seite zur Eingabe der Identifikationsdaten „online“ des Systems führt.
- Geben Sie auf den Seiten der Website keine E-Mail-Adresse für die Kommunikation an. Verwenden Sie Skripte von Feedback-Formularen.
- Geben Sie auf der Website weder die Details der Zahlungssysteme "online" noch die Details der Bankkonten an.
- Verwendung von Skripten, die das Kopieren von Webseiten verbieten. Es ist zu beachten, dass in diesem Fall fast alle „Online“ -Systeme über den Schutz von Informationen sündigen.
Zeichen Dies kann auf einen möglichen Phishing-Angriff hinweisen:
Empfänger E-Mail : Wenn Sie ein solches Informationsschreiben erhalten, müssen Sie darauf achten, welche E-Mail-Adresse im Abschnitt „An“ angegeben ist. Wenn in diesem Abschnitt eine andere E-Mail-Adresse angegeben ist, jedoch nicht der Empfänger, wurde der Brief vom Programm „E-Mail-Spammer“ gesendet. In diesem Abschnitt können auch mehrere E-Mail-Adressen angegeben werden, die auf ein Versenden von Spam hinweisen.
Absender E-Mail : Es spielt keine Rolle, auf diese Weise besteht die Möglichkeit, eine E-Mail-Adresse zu fälschen, wenn ein Informationsbrief des Programms fast anonym gesendet wird.
Datum: 10.05.07 22:03 Uhr
Von: Yandex.Cards - Absenderadresse
An: Ihre Adresse@yandex.ru - Adresse des Empfängers
Betreff: Postkarte von XXXX an Sie!
Absender-IP-Adresse : Sie können die IP-Adresse des Absenders festlegen, indem Sie die Option „Nachrichteneigenschaften“ öffnen, die immer die IP-Adresse des ursprünglichen Absenders angibt.
"Briefeigenschaften" im Yandex-Mailsystem
Erhalten: von mxfront6.yandex.ru ([213.180.XXX.XXX]: 61840 "EHLO - Mail-Server-IP .
mxfront6.yandex.ru "smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) per mail.yandex.ru mit der ESMTP-ID S2965911AbYERLI6 (ORCPT
);
So, 18. Mai 2008 15:08:58 +0400
Erhalten: von [61.106.66.XXX] ([61.106.66.XXX]: 44804 - Absender-IP
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1
per mail.yandex.ru mit SMTP-ID S40413AbYERLIw (ORCPT
Überprüfen Sie, wem die IP-Adresse des Absenders gehört Nutzung des Dienstes „WHOIS“. Wenn die IP-Adresse des Absenders mit der IP-Adresse von Yandex oder Alfa-Bank übereinstimmt, erhalten wir die folgende Antwort:
Yandex
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
Netzname YANDEX-XXX-X
Beschreibung Yandex Unternehmensnetzwerk
Land RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
Bemerkungen INFRA-AW
Status ASSIGNED PA
mnt-von YANDEX-MNT
Quelle RIPE # Gefiltert
Alfa Bank
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
Netzname ALFA-BANK
Beschreibung Alfa-Bank Moskau Russland
Land RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
Status ASSIGNED PA
mnt-von ALFABANK-MNT
Quelle RIPE # Gefiltert
Ist die IP-Adresse des Absenders im Brief stimmt nicht überein Mit der IP-Adresse im „WHOIS“ -Dienst weist dies auf einen Phishing-Angriff hin, obwohl eine tatsächlich vorhandene E-Mail-Adresse des Online-Supportdienstes angegeben ist.
Sie können auf die gleiche Weise überprüfen. IP-Adresse einer Site oder Domain auf dem er ist.
Es besteht auch die Möglichkeit, den Verlauf der Website zu überprüfen, zu der uns der Link des Newsletters führt, dh über die Website des Internetarchivs zu überprüfen, wann die Website von Interesse veröffentlicht wurde und wie viele Internetseiten. Kopieren Sie dazu die Webadresse der Site von der Befehlszeile des Internetbrowsers und geben Sie "Internet Archive Wayback Machine" in das Suchfeld ein. Wenn die Suchmaschine keine Daten in der verifizierten Webadresse findet, bedeutet dies, dass es sich bei der Website um Phishing handelt.
Die Grundlage dieses Verfahrens besteht darin, die Identität des Opfers unter Verwendung einer gefälschten Stelle (im Folgenden als Phishing-Stelle bezeichnet) zu erhalten, die eine exakte Kopie der Gegenwart ist.
In der Praxis können zwei Arten von Angriffen unterschieden werden, um die gewünschten Informationen zu erhalten:
Ein Massenangriff von Benutzern wird verwendet, um die größte Menge an Identifikationsdaten zu erhalten, um Geld zu stehlen, Konten zu erstellen oder große Mengen an Informationen über das Bankennetzwerk zu sammeln.
Ein gezielter Angriff eines bestimmten Benutzers - um die größte Menge an Geschäfts- und Finanzinformationen über eine bestimmte Person oder juristische Person zu erhalten.
Der Aktionsalgorithmus ist in beiden Fällen der gleiche:
- Auswahl und Untersuchung des elektronischen Zahlungs-, Post- oder Online-Banking-Systems.
- Sammlung von Informationen über die Clients dieses Systems oder über einen bestimmten Client.
- Erstellung und Platzierung einer Phishing-Site im Netzwerk.
- Überweisung von Kunden eines echten Online-Systems an eine Phishing-Site.
Als nächstes betrachten wir praktisch diesen Algorithmus.
Auswahl und Untersuchung des elektronischen Zahlungs-, Post- oder Online-Banking-Systems.
Die Wahl eines Objekts hängt von der Erfahrung, dem technischen Support und dem spezifischen Zweck der Person ab, die mit Phishing befasst ist. Die Untersuchung des interessierenden Systems beginnt mit einem Besuch der Site und einer Untersuchung der Komponenten der Site.
Der Phisher achtet besonders auf den Abschnitt der Website „Anmelden im persönlichen Bereich von Systemkunden“ sowie auf die Bedingungen für die Verwendung dieses elektronischen Systems, den Bereich für technischen Support, den Bereich für Sicherheit, den Bereich für Nachrichten und Informationen sowie die E-Mail-Adressen der Dienste des betreffenden Systems.
Es ist auch möglich, dass der Phisher seinen persönlichen Bereich im interessierenden Online-System registriert, wodurch er zusätzliche Informationen für bessere Aktivitäten erhält.
Ein erfahrener Phisher verwendet die erhaltenen Informationen, um den Eindruck der größten Realität zu erwecken, die dem potenziellen Opfer widerfährt, während er sie an die Phishing-Site sendet.
Sammlung von Informationen über Clients oder einen bestimmten Client dieses Systems.
Die Methode zum Sammeln von Informationen hängt davon ab, welche Angriffe ausgeführt werden und welche Clients von den Online-Systemen angegriffen werden.
Grundlage dieser Operation ist die Erfassung von E-Mail-Adressen potenzieller Opfer - Kunden des Online-Systems, an die anschließend eine Informationsnachricht oder ein Brief gesendet wird, angeblich im Auftrag der Verwaltung einer realen Site oder eines Online-Systems, um das Opfer an eine Phishing-Site zu senden.
In der Regel wird ein Massenangriff von Benutzern auf Kunden eines E-Mail- oder Zahlungssystems ausgeführt, und leistungsstarke Botnetze werden zum Sammeln von E-Mail-Adressen (ein Programm ist ein Roboter, der E-Mail-Adressen für Spam-Listen sammelt) oder weniger leistungsfähige Programme zum Sammeln von Spam-Blättern wie Advanced verwendet E-Mail-Extraktor, E-Mail-Sammlung 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, E-Mail-Spider 9.0, Robospam, Extraktor für E-Mail-Adressen, E-MAILS HUNTER, NetTools. Einige dieser Programme verfügen über eine E-Mail-Sammlungsfunktion E-Mail-Adressen nach einem bestimmten Algorithmus - können die E-Mail-Adressen eines bestimmten E-Mail-Systems und in der Regel dasselbe elektronische Zahlungssystem erfassen, da die Anmeldung sowohl für das E-Mail- als auch für das Zahlungssystem gleich ist. Yandex und @ MAIL.RU dienen als Beispiel. Es ist zu beachten, dass @ MAIL.RU auch das Mailsystem @ inbox.ru, @ bk.ru, @ list.ru bedient.
Die Methode zum Sammeln von Informationen bei einem gezielten Angriff unterscheidet sich darin, dass Informationen über ein bestimmtes elektronisches Zahlungssystem (z. B. WebMoney, Egold), ein Online-Bankkontoverwaltungssystem und eine bestimmte Person oder juristische Person erfasst werden.
Der Hauptunterschied zwischen dieser Sammlung von Informationen besteht darin, dass der Phisher am Ende der Sammlung von Informationen nicht nur Informationen über die E-Mail-Adresse des potenziellen Opfers verwendet, sondern auch Angaben zu Bankkonten (Bankkonto und Korrespondenzkontonummer, Adresse der Bank oder ihrer Filiale, personenbezogene Daten des Eigentümers) Konten) sowie Kontodetails elektronischer Zahlungssysteme, die es ihm ermöglichen, ein besseres und zuverlässigeres Informationsschreiben an ein potenzielles Opfer und eine Phishing-Site zu erstellen.
In diesem Fall Internet-Informationssuchprogramme wie Internet EZ Search, Genius !, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey-Suchwerkzeug, LENIN INC-Suchmaschine, SpeedySearch oder Internet-Suchsysteme wie wie Yandex, Rambler, Google und andere.
Bei einer korrekt angegebenen Anfrage kann das Suchsystem mehrere hunderttausend Links zu den Details der Bankkonten von Einzelpersonen und Organisationen erstellen. Wenn Sie "Details unseres Girokontos" anfordern, gibt das Yandex-System etwa 400.000 Seitenlinks an Bankbenutzer mit Informationen aus, die für den Phisher, das Google-System, von Interesse sind - etwa 250.000 Links. Über 15.000 Links zur Anfrage "Details unseres Girokontos Alfa-Bank"
Erstellung und Platzierung einer Phishing-Site im Netzwerk.
Um die Identifikationsinformationen des Opfers zu erhalten, wird eine gefälschte Anmeldeseite erstellt, die mit der tatsächlichen Seite auf der Website des Online-Systems und der Serverseite des Skripts zur Verarbeitung der vom Opfer eingegebenen Daten identisch ist.
Die technische Seite des Erstellens einer Phishing-Site nimmt nicht viel Zeit in Anspruch, da eine vorgefertigte Seite der ursprünglichen Site kopiert wird (das Kopieren kann mit der Kopierfunktion eines Webbrowsers oder eines Kopierprogramms für Websites wie Teleport Pro, WebCopier, HTTrack, WebZip und andere erfolgen) und Mit dem HTML-Editor (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder und andere) wird eine Seitenfischer-Site erstellt.
Erfahrene Phisher erstellen zusätzlich eine oder mehrere Seiten der Site, um den Verdacht zu minimieren, dass das Opfer zur Phishing-Site geleitet wird. Der Informationsgehalt dieser Seiten kann sehr unterschiedlich sein, es gibt jedoch einige grundlegende zusammengesetzte Seiten einer Phishing-Site:
- Insbesondere wird gemäß dem gesendeten Informationsschreiben eine vorbereitete Seite gesendet, auf die das Opfer umgeleitet wird, nachdem es Identifikationsinformationen angegeben hat.
- Kopie der Hauptseite der ursprünglichen Site.
- Eine Seite mit einer Meldung über eine Serverstörung, zu der das Opfer umgeleitet wird, wenn es versucht, zu anderen Snares auf der Seite der Phishing-Site zu wechseln.
Eine solche Phishing-Site stellt keine Links her, die das Opfer zu realen Seiten der ursprünglichen Site weiterleiten, da das Besucherabrechnungssystem den Durchgang von den Seiten anderer Sites aufzeichnet und die Gefahr besteht, dass eine Phishing-Site vorhanden ist.
Unerfahrene Phisher erstellen in der Regel eine Seite der Site, auf der das Opfer die Identifikationsdaten eingeben muss, oder zusätzlich eine andere Seite, auf der er das Opfer darüber informiert, dass der Benutzername oder das Passwort falsch sind oder dieser Dienst vorübergehend nicht verfügbar ist, und fordert Sie auf, nach einiger Zeit erneut Kontakt aufzunehmen Zeit.
Das Muster ist wie folgt: Je erfahrener und professioneller der Phisher selbst ist, desto wahrscheinlicher sieht die Phisher-Site aus.
Eine Phishing-Site im Netzwerk wird auf zwei Arten gehostet:
Kostenloser Hosting-Server: Domain Zone "ru" - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND und andere; andere Domain-Zonen - ho (ua, org), AYOLA.net (com, net, biz), Bravanet (com), 007 Sites (com), 110 MB HOSTIHG (com) und andere.
Verwenden Ihres HTTP-Servers: Apache, kleiner HTTP-Server, Sambar-Server, KF-WEB-Server und andere, der auf dem Phisher-Computer oder auf dem Zombie-Computer installiert ist (speziell für solche Zwecke ein gehackter Computer).
Verweisen von Kunden eines echten Online-Systems auf eine Phishing-Site.
Das potenzielle Opfer wird durch Senden eines speziellen Informationsschreibens an seine E-Mail-Adresse an die Phishing-Site gesendet.
Für Massenangriffe potenzieller Opfer werden E-Mail-Spammer verwendet: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC-E-Mail-Spamer, Advanced Mass Sender und andere.
Für einen gezielten Angriff eines potenziellen Opfers werden sowohl die oben genannten "E-Mail-Spammer" -Programme als auch anonyme Mail-Sendeprogramme verwendet: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer und andere oder fast anonyme Server.
Es ist zu beachten, dass der Phisher mit fast anonymen Sendeprogrammen die E-Mail-Adresse des Absenders fälschen kann, dh er kann jede andere echte oder nicht vorhandene E-Mail-Adresse angeben. Es verwendet die erhaltenen Informationen über die Möglichkeit, die Dienste des Online-Systems zu kontaktieren, dh die tatsächliche E-Mail-Adresse des Online-Systems.
Textinhalt des Newsletters Es wird in Abhängigkeit vom angegriffenen "Online" -System und dem Inhalt der Phishing-Site entwickelt.
Der derzeit einfachste Newsletter ist eine Informationsnachricht, die den Login und das Passwort bestätigt:
-------------------------------------------------- -----------------------------
Sehr geehrter Benutzer, Yandex Mail Service!
Aufgrund eines Hackerangriffs auf den Yandex-Mailserver und der Wiederherstellung von Kundenkonten bitten wir Sie, auf die Yandex-Website zu gehen und Ihr Konto zu bestätigen
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Wir entschuldigen uns für
Unbequemlichkeit.
Mit freundlichen Grüßen Yandex Support.
Yandex-Mailbox ohne Spam und Viren.
-------------------------------------------------- -------------------------------
Sehr geehrter Benutzer, Alfa-Click Internet Banking System!
Aufgrund eines Hackerangriffs auf den Alfa-Click Internet Bank-Server und der Wiederherstellung von Kundenkonten bitten wir Sie, zum Alfa-Click Internet Bank-Server zu gehen und Ihr Konto zu bestätigen oder sich an Ihre Alfa Bank-Filiale zu wenden.
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Wir entschuldigen uns für etwaige Unannehmlichkeiten.
Mit freundlichen Grüßen Support-Service "online" des "Internet Bank Alfa-Click" -Systems.
Weitere Internetprojekte der Alfa Bank.
-------------------------------------------------- ------------------------------
Newsletter mit solchen Inhalten sind in der Regel nicht sehr effektiv, da sie seit langem verwendet werden und die meisten Benutzer von „Online“ -Systemen wissen, dass es sich um einen Internetbetrug handelt.
Ein plausiblerer Newsletter, der keinen Verdacht auf ein potenzielles Opfer erregt, kann folgendermaßen geschrieben werden:
-------------------------------------------------- ---------------------------
Hallo Benutzer!
Du hast eine Postkarte.
Postkartensender: XXXX
Um der Entdecker dieser Postkarte zu werden, klicken Sie auf den Link.
Bitte antworten Sie nicht auf diese Email.
Um eine Postkarte als Antwort zu senden, wählen Sie eine Postkarte auf der Yandex.Cards-Website aus oder zeichnen Sie mit Yandex.Colors
Yandex. Postkarten. Vor den Ferien geöffnet.
Hallo Polzovatel, du hast gerade eine Postkarte erhalten.
Um die Postkarte anzuzeigen, klicken Sie auf diesen Link.
Bitte beantworten Sie diese E-Mail nicht.
Yandex.Postkarten. Postkarten vor den Feiertagen.
-------------------------------------------------- ------------------------
Sehr geehrter Benutzer, Alfa-Click Internet Banking System!
Das Management der Alfa Bank kündigt eine Lotterie für Kunden der Alfa-Click Internet Bank an.
Sie werden sich mit den Teilnahmebedingungen an der Lotterie vertraut machen und können Ihre Teilnahme an der Lotterie bestätigen, indem Sie sich an die Alfa-Click Internet Bank oder an Ihre Alfa Bank-Filiale wenden.
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Mit freundlichen Grüßen Support-Service "online" des "Internet Bank Alfa-Click" -Systems.
Alfa-Click Internet Banking ist die Einfachheit und Geschwindigkeit der Verbindung zum System, da keine spezielle Software installiert werden muss.
Hauptbüro
107078, Moskau, st. Kalanchevskaya, 27
XML: NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495) 620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
-------------------------------------------------- ------------------------
Sehr geehrter Benutzer des Yandex.Money-Zahlungssystems!
Das Management des Yandex.Money-Zahlungssystems kündigt eine Lotterie für seine Kunden an.
Er wird sich mit den Teilnahmebedingungen an der Lotterie vertraut machen, und Sie können Ihre Teilnahme an der Lotterie bestätigen, indem Sie auf den Link klicken.
E-Mail vom Mailing-Roboter gesendet. Bitte antworten Sie nicht auf diese Email.
Rabatte in diesem Monat. Mehr Details
Yandex-Mailbox ohne Spam und Viren.
-------------------------------------------------- ------------------------
Der Inhalt des Newsletters kann sehr unterschiedlich sein und die Berücksichtigung aller Optionen ist einfach nicht möglich. Auf der Website der Anti-Phishing-Arbeitsgruppe können Sie sich mit vielen Arten von Newslettern und Phishing-Sites vertraut machen.
Es ist vor Phishing-Angriffen und Sicherheitsprinzipien geschützt, wenn "Online" -Systeme verwendet werden.
Berücksichtigen Sie die Grundprinzipien der Sicherheit bei der Verwendung von "Online" -Systemen und sind Sie vor Phishing-Angriffen geschützt.
Die Hauptsache, an die sich Benutzer von Online-Systemen erinnern sollten:
- Der Support-Service des „Online“ -Systems sendet keine Informationsschreiben, in denen Wasser angefordert oder Identifikationsdaten bestätigt werden.
- Nach Erhalt eines solchen Schreibens erfolgt der Übergang zu diesem „Online“ -System nur über die Befehlszeile des Webbrowsers. Kopieren Sie den im Newsletter angegebenen Link nicht und geben Sie ihn nicht in die Befehlszeile des Webbrowsers ein.
- Geben Sie die erforderlichen Identifikationsdaten nicht ein, wenn der angegebene Link zur Seite zur Eingabe der Identifikationsdaten „online“ des Systems führt.
- Geben Sie auf den Seiten der Website keine E-Mail-Adresse für die Kommunikation an. Verwenden Sie Skripte von Feedback-Formularen.
- Geben Sie auf der Website weder die Details der Zahlungssysteme "online" noch die Details der Bankkonten an.
- Verwendung von Skripten, die das Kopieren von Webseiten verbieten. Es ist zu beachten, dass in diesem Fall fast alle „Online“ -Systeme über den Schutz von Informationen sündigen.
Zeichen Dies kann auf einen möglichen Phishing-Angriff hinweisen:
Empfänger E-Mail : Wenn Sie ein solches Informationsschreiben erhalten, müssen Sie darauf achten, welche E-Mail-Adresse im Abschnitt „An“ angegeben ist. Wenn in diesem Abschnitt eine andere E-Mail-Adresse angegeben ist, jedoch nicht der Empfänger, wurde der Brief vom Programm „E-Mail-Spammer“ gesendet. In diesem Abschnitt können auch mehrere E-Mail-Adressen angegeben werden, die auf ein Versenden von Spam hinweisen.
Absender E-Mail : Es spielt keine Rolle, auf diese Weise besteht die Möglichkeit, eine E-Mail-Adresse zu fälschen, wenn ein Informationsbrief des Programms fast anonym gesendet wird.
Datum: 10.05.07 22:03 Uhr
Von: Yandex.Cards - Absenderadresse
An: Ihre Adresse@yandex.ru - Adresse des Empfängers
Betreff: Postkarte von XXXX an Sie!
Absender-IP-Adresse : Sie können die IP-Adresse des Absenders festlegen, indem Sie die Option „Nachrichteneigenschaften“ öffnen, die immer die IP-Adresse des ursprünglichen Absenders angibt.
"Briefeigenschaften" im Yandex-Mailsystem
Erhalten: von mxfront6.yandex.ru ([213.180.XXX.XXX]: 61840 "EHLO - Mail-Server-IP .
mxfront6.yandex.ru "smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) per mail.yandex.ru mit der ESMTP-ID S2965911AbYERLI6 (ORCPT
);
So, 18. Mai 2008 15:08:58 +0400
Erhalten: von [61.106.66.XXX] ([61.106.66.XXX]: 44804 - Absender-IP
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1
per mail.yandex.ru mit SMTP-ID S40413AbYERLIw (ORCPT
Überprüfen Sie, wem die IP-Adresse des Absenders gehört Nutzung des Dienstes „WHOIS“. Wenn die IP-Adresse des Absenders mit der IP-Adresse von Yandex oder Alfa-Bank übereinstimmt, erhalten wir die folgende Antwort:
Yandex
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
Netzname YANDEX-XXX-X
Beschreibung Yandex Unternehmensnetzwerk
Land RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
Bemerkungen INFRA-AW
Status ASSIGNED PA
mnt-von YANDEX-MNT
Quelle RIPE # Gefiltert
Alfa Bank
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
Netzname ALFA-BANK
Beschreibung Alfa-Bank Moskau Russland
Land RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
Status ASSIGNED PA
mnt-von ALFABANK-MNT
Quelle RIPE # Gefiltert
Ist die IP-Adresse des Absenders im Brief stimmt nicht überein Mit der IP-Adresse im „WHOIS“ -Dienst weist dies auf einen Phishing-Angriff hin, obwohl eine tatsächlich vorhandene E-Mail-Adresse des Online-Supportdienstes angegeben ist.
Sie können auf die gleiche Weise überprüfen. IP-Adresse einer Site oder Domain auf dem er ist.
Es besteht auch die Möglichkeit, den Verlauf der Website zu überprüfen, zu der uns der Link des Newsletters führt, dh über die Website des Internetarchivs zu überprüfen, wann die Website von Interesse veröffentlicht wurde und wie viele Internetseiten. Kopieren Sie dazu die Webadresse der Site von der Befehlszeile des Internetbrowsers und geben Sie "Internet Archive Wayback Machine" in das Suchfeld ein. Wenn die Suchmaschine keine Daten in der verifizierten Webadresse findet, bedeutet dies, dass es sich bei der Website um Phishing handelt.
Original message
Рассмотрим некоторые аспекты информационной и финансовой бизнес разведки и безопасности в интернете. Конкретно рассмотрим один из способов получения несанкционированного доступа к бизнес переписке, используя электронную почтовую систему (э-майл), а также аналогичный доступ к ведению финансовых операций, используя “онлайн” платежную систему (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney, Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney и других), или “онлайн” систему управления банковским счетом, то – есть способ, который называется ФИШИНГ: интернет – мошенничество, цель которого - получение идентификационных данных пользователя (логин и пароль).
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковсРкой сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта.
Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы.
Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная станица, на которую жертва перенаправляется после того, как он вел идентификационную информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные, или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством.
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя:При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя: Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя: Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя.
“Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1: )
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковсРкой сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта.
Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы.
Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная станица, на которую жертва перенаправляется после того, как он вел идентификационную информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные, или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством.
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя:При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя: Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя: Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя.
“Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1: )
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.
