Wat is phishing? Een diepe duik in de phishing-aanvalsmechanismen met tips


Phishing is een techniek die wordt gebruikt om inloggegevens, persoonlijke informatie en financiële gegevens van een gebruiker te stelen. De aanvaller stuurt e-mail of sms om het doelwit te vervalsen en verleidt hen om kwaadaardige links of bijlagen te openen.

De meest voorkomende manieren waarop aanvallers phishing-aanvallen proberen, zijn via sociale netwerksites, sms en e-mailmeldingen. We zien een plotselinge toename van phishing-e-mails die worden gebruikt voor het verzamelen van inloggegevens, waarvan gebruikers op de hoogte moeten zijn.

Technieken voor phishingaanvallen:

De volgende zijn technieken voor phishing-zwendel, samen met voorbeelden:

1. Vervalste e-mailmechanisme:

Bij deze techniek stuurt de aanvaller een phishing-e-mail naar het slachtoffer met kwaadaardige documenten als bijlage, legitieme links en inhoud in de e-mail om de beoogde gebruikers te vervalsen. Deze techniek wordt vaak gebruikt voor spear phishing-aanvallen waarbij gerichte gebruikers specifiek zijn met e-mail-ID’s die bekend zijn bij de aanvallers.

Voorbeeld 1 – Gerichte slachtoffers krijgen een e-mail met het onderwerp “Nieuw faxdocument van Xerox-scanner” en een bijgevoegd document. Om de bijlage te bekijken, wordt om de Microsoft Office-referentie van de beoogde gebruiker gevraagd. Phishers proberen het doelwit te vervalsen door legitieme inhoud aan de e-mail toe te voegen.

Voorbeeld 2Gerichte gebruikers worden vervalst door een e-mail die kwaadaardige documenten bevat, maar legitieme links en inhoud in de hoofdtekst van de e-mail.

De onderstaande afbeelding toont zo’n nep-e-mail met een gescand document als bijlage en een bericht in de Indonesische taal.

2. Verborgen tekst in de techniek van phishing-e-mails:

Aanvallers kunnen tekst- of phishing-links insluiten in de verborgen velden van de e-mail, die onzichtbaar zijn voor de beoogde gebruiker. Het onderstaande voorbeeld toont een e-mail met verborgen kwaadaardige code in de back-end, en de e-mail lijkt legitiem voor de gebruiker.

De onderstaande afbeelding toont een e-mail met wat tekst en links verborgen. Typische e-mailbeveiligingsmechanismen kunnen deze aanvallen mogelijk niet detecteren.

3. Smishing-mechanisme:

Bij deze techniek stuurt de aanvaller een sms naar de beoogde gebruiker met kwaadaardige links die deze doorverwijzen naar een nepwebsite die is ontworpen om persoonlijke informatie te stelen. Deze kwaadaardige links hebben de neiging om automatisch kwaadaardige apps op de apparaten van de slachtoffers te downloaden.

Voorbeeld 1 – In het onderstaande voorbeeld probeert de aanvaller persoonlijke informatie te stelen door gebruik te maken van de Covid Vaccinatieregistratie. Het portaal vraagt ​​om vooraf geld te storten voor vaccinatie en belooft een terugbetaling nadat het is gedaan, waardoor er een ravage ontstaat door een tekort.

Voorbeeld 2 – Nog een voorbeeld van het Dmart WhatsApp-bericht, waar oplichters gebruikers proberen voor de gek te houden met gratis cadeaubonnen. Het bericht beweert dat DMart-supermarkt gratis geschenken uitdeelt ter gelegenheid van zijn 20-jarig jubileum.

Het zwendelbericht bevat ook een link naar de website, die doorverwijst naar een phishingsite waar gebruikers aan een rad moeten draaien om een ​​prijs te winnen. Om de prijs te claimen, moeten gebruikers het bericht delen met andere WhatsApp-gebruikers.

4. Mail met bijgevoegd gecodeerd scriptdocument:

Bij deze techniek deelt de aanvaller het gecodeerde script met de beoogde gebruiker, dat pas leesbaar is als het is gedecodeerd, en de code is moeilijk te begrijpen voor gewone gebruikers. De kwaadaardige link is verborgen in een gecodeerde code. In sommige gevallen bevat het bijgevoegde scriptdocument meerdere lagen codering of verduistering om de beveiligingsfilters te omzeilen.

De opdracht ‘unescaped’ is een JavaScript-functie die in het onderstaande voorbeeld wordt gebruikt om stringgegevens te decoderen.

Het e-mailadres van het slachtoffer is al ingebed, soms in platte tekst of gecodeerd.

Een ander voorbeeld van het ingebedde script als bijlage in phishingmail bevat platte tekst in het script, maar de schadelijke URL wordt verdoezeld met behulp van Base64-codering.

Wat gebeurt er als je in de phishing-aanval trapt?

Als het slachtoffer toegang heeft tot de phishing-link vanuit de e-mail, zal deze doorverwijzen naar valse pagina’s die lijken op de legitieme.

Een voorbeeld wordt hieronder weergegeven als de Microsoft SharePoint-pagina, die er legitiem uitziet als er al een gerichte e-mail-ID aanwezig is en om een ​​wachtwoord wordt gevraagd.

Een ander voorbeeld is een valse Adobe-aanmeldingspagina met een authentiek uiterlijk. De pdf-bijlagen in de phishing-pogingen bevatten geen malware of exploitcode.

In plaats daarvan gebruiken aanvallers social engineering om slachtoffers te misleiden om phishing-pagina’s te bezoeken en om persoonlijke informatie te vragen.

PDF-bestanden worden via e-mail verspreid met het verzoek om uw e-mailgegevens te verstrekken om het bestand te kunnen lezen of downloaden. Afgezien van een link naar een phishing-site, bevatten PDF-bestanden geen kwaadaardige code. Een legitieme Adobe-service heeft geen e-mail en wachtwoord nodig.

Bij spearphishing of walvisphishing wordt het slachtoffer niet gevraagd om zijn e-mailadres in te voeren, omdat dit al is ingesloten. Het slachtoffer wordt om zijn wachtwoord gevraagd voordat hij wordt doorgestuurd naar de legitieme pagina.

Over het algemeen zal het niet de eerste keer een fout geven wanneer een wachtwoord wordt verstrekt. In plaats daarvan accepteert het het ingevoerde wachtwoord. Nadat u op de aanmeldingsoptie heeft geklikt, wordt deze opnieuw omgeleid naar de legitieme pagina, maar op de achtergrond wordt het vastgelegde verkeer hieronder weergegeven, waar de gerichte e-mail-ID en het ingevoerde wachtwoord worden verzonden in POST-verzoek naar phishing-URL. Als gevolg hiervan heeft het slachtoffer geen idee dat ze hun wachtwoord op een nepsite hebben ingevoerd. Op deze manier verzamelen aanvallers referenties.

Hoe jezelf veilig en beschermd houden?

1. Controleer de gegevens van de afzender van de e-mail – Controleer onder andere de accountgegevens, e-mailadressen en naam van de afzender.

2. Controleer de links en verdachte bijlagen – Controleer altijd de URL’s/domeinen van de links. Open geen gekoppelde links of bijlagen in Mail totdat deze is gevalideerd.

3. Inhouds- en spelfouten – Lees de inhoud van het bericht altijd aandachtig en controleer het e-mailformaat. Zoek naar eventuele grammaticale fouten.

4. Verzoek om persoonlijke informatieAls in het bericht wordt gevraagd om persoonlijke informatie te delen, geef dan geen belangrijke informatie op totdat je valideert.

5. Aanbiedingen die te mooi lijken om waar te zijn – Denk voordat je op een dergelijke link klikt om je beloning te claimen, dat het aanbod dat te mooi lijkt om waar te zijn een valstrik kan zijn

IoC’s:

Schadelijke URL’s en IP’s:

  • http[:]//prachtig[.]xyz/
  • http[:]//ervaringspoëzie[.]bovenkant/
  • https[:]//www.frigoglass[.]org/2021/hot[.]php
  • https[:]//jsonip[.]com?callback=?
  • https[:]//pollyextreem[.]com/service/oud[.]php
  • https[:]//firebaseopslag[.]googleapis[.]com/
  • https[:]//lecuris[.]com/factuur/appel[.]php
  • https[:]//objectopslag[.]ons-sanjose-1[.]orakelwolk[.]com/
  • https[:]//l[.]gyazo[.]com/049bc4624875e35c9a678af7eb99bb95[.]jpg
  • http[:]//media[.]fc2[.]com/
  • https[:]//aysinturpoglucelik[.]com/jr/acties[.]php
  • http[:]//f0570529[.]xsph[.]ru/okp/acties[.]php
  • https[:]//alergybegonesucks[.]com/tfx/dhl[.]php
  • http[:]//www[.]bammsind[.]com/af/UZIE/acties[.]php
  • https[:]//mayhutsuahanoi[.]com/
  • http[:]//svetpoljoprivrede[.]rs/wp-inclusief/certificaten/login-chk[.]php
  • https[:]//loginmicros0ft0nl1newebserver[.]cf/xor/beleid[.]php
  • https[:]//ttraff[.]link/123
  • https[:]//grupodionisio[.]com[.]br/yn/kat[.]php
  • https[:]//ceramnegar[.]co[.]ir/bb/barhty[.]php
  • http[:]//herdenkingstuin[.]com[.]br/sureboy/logz[.]php
  • https[:]//www[.]kuikensinfo[.]com/wp-includes/js/dist/nuru/actions[.]php
  • https[:]//lingaly[.]pl/agda/UZIE/acties[.]php
  • https[:]//sharemybucketlist[.]com/lie/dhl[.]php
  • https[:]//telraam[.]edu[.]np/lastman/actie[.]php
  • https[:]//purplespiritmassage[.]com/send[.]php
  • https[:]//rustless-netwerken[.]000webhostapp[.]com/bebe/Obago[.]php
  • https[:]//omuniz[.]com[.]br/omwp/wpcontent/themes/TakedaSan/css/chk
  • kantoor[.]php
  • https[:]//wereldfreeware[.]co/wpcontent/plugins/ygynxqjpyo/mills/
  • cald[.]php
  • 167[.]172[.]146[.]28
  • 3[.]139[.]50[.]24

Amruta Wagh



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.