SPAM czyli niechciana poczta to tylko jeden problem – obecnie wielu dostawców pocztowych stara się oszczędzić nam przygód z wiadomościami śmieciami już na poziomie serwera pocztowego przechwytując i odpowiednio oznaczając lub przenosząc do specjalnego folderu zbędne wiadomości tu za wyznacznik jakości osobiście uważam Gmail, którego moduł antyspamowy jest naprawdę skuteczny.
Reklamy i inne niechciane materiały to część niechcianych wiadomości – drugie są groźniejsze bardzo często stosując techniki phishingowe służą do wykradania naszych danych do kont i usług, a w groźniejszych przypadkach nawet do kont bankowych.
Na przykładzie wiadomości phishingowej udającej wiadomość z portalu Facebook pokażę jak sprawdzić wiarygodność wiadomości i w kilka sekund dowiedzieć się czy to co czytamy faktycznie pochodzi z naszego zaufanego portalu czy jest dobrze spreparowaną próbą oszustwa.
Pierwsza zasada bezpieczeństwa!
Najpierw czytaj potem klikaj, nie odwrotnie. Przeczytaj treść wiadomości, przyjrzyj się jej. Nie musisz się w nią wpatrywać namiętnym wzrokiem to przecież nie gra w znajdź 7 różnic ale jeśli widzisz coś niepokojącego lub wyglądającego nie tak jak zawsze to poświęć minutkę czy dwie na zbadanie wiadomości dla własnego dobra.
Kliknij obrazek i zobacz porównanie fałszywej wiadomości od Facebook i prawdziwej. Pierwsza i istotna różnica to język wiadomości jaką otrzymałeś. Jeśli otrzymywałeś zawsze maile w języku polskim to wiadomość w języku np. angielskim automatycznie powinna budzić Twoje podejrzenia.
Druga istotna sprawa – wiadomość jest adresowana do Ciebie i np. Facebook zawsze zwraca się bezpośrednio do użytkownika rozpoczynając wiadomość „Witaj Arkadiusz!”, a nie jak widać na mistyfikacji „Dear facebook user,” (Drogi użytkowniku facebooka).
Administracja portalu wie do kogo konto należy, jakie podał w nim dane w tym imię i to imię wykorzystywane jest w mailingach – w fałszywej wiadomości jest zwrot uniwersalny bo preparując fałszywą wiadomość oszuści nie są w stanie zdobyć imion adresatów.
Ostatnia już nie tak oczywista różnica to stopka wiadomości. W oryginale jest informacja, że jeśli nie wyrażasz zgody na takie wiadomości to kliknij aby anulować subskrypcję czego w fałszywej wiadomości nie znajdziecie i śpieszę wyjaśnić dlaczego. Jest tam zaszyty link z zaszyfrowanym adresem e-mail jaki ma zostać wyrejestrowany z subskrypcji czego oszuści nie są w stanie spreparować. Link wygląda mniej więcej tak:
//www.facebook.com/o.php?c&k=c708fa&u=100000396275514&mid=1678#########8ef3aG9749fG2b
Kilka znaków celowo zastąpiłem symbolem #. Kliknięcie w taki link otwiera stronę wymagającą potwierdzenia chęci wyrejestrowania się z list powiadomień.
Sugerowałem, że to mniej oczywista różnica bo w stopki niewielu czytelników zagląda, a już na pewno niewielu z nas interesuje się ich treścią.
Druga zasada bezpieczeństwa!
Skoro na pierwszy rzut oka coś nie wygląda za dobrze z wiadomością to pod żadnym pozorem nie klikaj w żadne linki jakie są w niej podane. Później wyjaśnię jakie linki są zaszyte w fałszywej wiadomości jaką się posługuję i przybliżę ich zasadę działania.
Jak sprawdzić czy wiadomość jest prawdziwa czy oszustwem?
- Zobacz od kogo przyszła wiadomość – w powyższym przykładzie widać, że adresy są bardzo podobne w budowie jak również domena z jakiej wiadomość pochodzi to facebookmail.com więc wygląda ok prawda?
- Zobacz do kogo wysłano wiadomość – prawdziwa wiadomość została wysłana przez facebook do mnie i ja widnieję jako jej adresat – w końcu administracja portalu wie do kogo się zwraca. W fałszywej wiadomości natomiast adresatem jest zupełnie nieznana mi osoba.
Jeśli któryś z powyższych punktów ma miejsce również w Twoim przypadku to pora przejść do sedna sztuki – nagłówki wiadomości.
„Doklejany” do wiadomości przez serwer pocztowy nagłówek jest nie do oszukania. Jedyny wyjątek to pole from – tak właśnie w omawianym przypadku jest podstawiony w fałszywej wiadomości e-mail adres nadawcy z domeny facebookmail.com – jest to zapisane w nagłówkach.
To co widać w polu nadawca lub From w naszym programie pocztowym da się oszukać ale to co jest w nagłówkach w polu adres nadawcy i adres zwrotny już jest nie do oszukania.
Zacznijmy więc od tego jak nagłówki sobie wyświetlić. W przypadku Gmail sprawa jest prosta i wygodna:
W przeglądarce w czytanej wiadomości klikamy zaznaczoną na czerwono strzałkę i z menu wybieramy pokaż oryginał – nagłówki wyświetlą się w nowym oknie.
W klientach pocztowych natomiast:
- Thunderbird – Zaznacz wiadomość, po prawej stronie kliknij przycisk inne i wybierz z listy pokaż źródło.
- Windows Mail – kliknij wiadomość prawym, wybierz właściwości, zakładkę szczegóły i przycisk źródło wiadomości.
- The Bat! – zaznacz wiadomość, kliknij prawym specjalne -> Pokaż źródło lub skrót klawiszowy F9.
Skoro widzisz już nagłówki wiadomości to teraz zobaczmy co ciekawego się w nich kryje i na co warto zwracać uwagę sprawdzając wiadomość:
Standardowe nagłówki:
From: "Facebook" To: Subject: Facebook account update Date: Sat, 26 Dec 2009 20:35:07 -0300
- From – od kogo – to właśnie pole da się oszukać
- To – do kogo
- Subject – temat
- Date – czas otrzymania
Standardowe nagłówki są domyślnie wyświetlane przy przeglądaniu wiadomości mail – zawsze widać kto do kogo napisał, kiedy i jaki jest temat wiadomości.
Zaawansowane nagłówki:
Return-Path:
Return-Path to ścieżka zwrotna tu widać prawdziwy adres nadawcy i tego adresu już nie da się podmienić tak jak ma to miejsce w przypadku pola From. Widzimy od kogo – facebookmail.com ale jeśli odpowiemy na tą wiadomość to trafi ona na adres jaki widnieje w Return-Path czyli adresie zwrotnym.
Kolejny raz zaznaczam, że pole From widać domyślnie i widzimy nie koniecznie prawdziwy adres zwrotny natomiast ścieżka zwrotna jest zaszyta w nagłówkach i nie zawsze musi być taka sama jak w polu From – oszuści znają nagłówki i wiedzą co domyślnie widać, a czego nie i wierzcie mi wykorzystują tą wiedzę.
Received: from 190-51-159-103.speedy.com.ar ([190.51.159.103]) by mx.google.com with ESMTP id 28si21547701eyg.12.2009.12.26.15.35.19; Sat, 26 Dec 2009 15:35:50 -0800 (PST)
Odebrano z 190-51-159-103.speedy.com.ar przez mx.google.com (serwer Gmail – odbiorca).
Co istotnego jest w tym właśnie nagłówku? Domena z jakiej wiadomość została wysłana – w oszukanym nadawcy widzimy facebookmail.com ale wysłane z speedy.com.ar?
Sprawdźmy więc coś więcej na temat tej domeny. Wchodzimy na witrynę: //whois.domaintools.com/ wpisujemy interesującą nas domenę i klikamy lookup. Dowiemy się na kogo domena jest zarejestrowana, gdzie i jakie są istotne informacje na jej temat. Jak widać mamy wystarczający dowód aby pod żadnym pozorem nie ufać żadnej treści w tej wiadomości – facebook na pewno nie będzie do nas pisał z domeny zarejestrowanej w Argentynie na Pana Federico Leonel Stellato i należącej do Telefonica de Argentina S.A. w Buenos Aires.
Zobaczmy teraz nagłówek prawdziwego maila od Facebook:
Received: from mx-out.facebook.com (elektroda.net [10.10.17.20]) by elektroda.net (Mail System Elektroda.net) with ESMTP id 4F8EDD8C059 for <****@elektroda.net>; Tue, 13 Oct 2009 14:28:48 +0200 (CEST)
Już sam nagłówek Received czyli od kogo otrzymano wiele nam powie – mx-out.facebook.com czyli serwer pocztowy Facebooka.
Return-Path:
Adres zwrotny również kieruje nas na facebook czyli jest taki sam jak ten, który widzimy w polu From – nadawca.
Co jeszcze istotnego jest w prawdziwej wiadomości czego nie znajdziemy w fałszywej?
DKIM-Signature: v=1; a=rsa-sha1; d=facebookmail.com; s=q1-2009b; c=relaxed/relaxed; q=dns/txt; i=@facebookmail.com; t=1255436927; h=From:Subject:Date:To:MIME-Version:Content-Type; bh=Ns7kt1r5XmjD/ow92y3v7IS7fNQ=; b=CWO8toahQp6LsdFZ5tbgkbvY5eRjWSQwv6jBNp4XhiTEDObF1DfdfGWrXl33KTjk 29f/2aT5M0t0KiAO7F2RWA==;
Sygnatura czyli informacja o użyciu klucza RSA (klucz kryptograficzny) informujący nas, że wiadomość została przesłana z potwierdzeniem certyfikatem TLS lub SSL czyli przez bezpieczne, szyfrowane połączenie.
Jak wynika z lektury powyższych informacji raptem kilka kroków, a tym samym poświęcenie 1-2 min naszego cennego czasu może nam oszczędzić przygód z oszustami, zainfekowania komputera wirusem lub nawet utraty konta w tym przypadku tylko na portalu społecznościowym Facebook ale sami zastanówcie się co mogłoby nas spotkać jeśli to była by wiadomość z np. banku, w którym macie konto? Znane są przypadki fałszywych mailingów podszywających się pod banki nawet polskie np. BZ WBK stał się nie tak dawno ofiarą sprytnych oszustów i zaczęły krążyć fałszywe wiadomości łudząco podobne do oryginalnych, rozsyłanych przez bank.
Co jeśli zamiast czytania zaczęlibyśmy klikać w linki w wiadomości? Sami zobaczcie:
Wiadomość informowała nas o nowym, bezpieczniejszym sposobie korzystania z konta w Facebook, który wymaga zmiany sposobu logowania się do konta. kliknięcie w link jaki w wiadomości był podany przenosi nas na stronę łudząco podobną do oryginalnej ale…. w języku angielskim co dla nas już powinno być wystarczająco podejrzane.
Co jeszcze jest podejrzanego w tym linku? Popatrzmy na adres strony na jakiej jesteśmy:
//www.facebook.com.piwjiilil.com.pl/usersdirectory/LoginFacebook.php?ref=44358495087505554058892771503453403896988472602752625556301
8192265696219206&email=person@kerger.net
Już sam wpis w adresie piwjiilil.com.pl jest wystarczającym powodem żeby się nie logować na tej stronie!
Prawdziwa strona logowania to: https://login.facebook.com/login.php?
Jaka jest istotna różnica? Oszuści zapraszają nas przez HTTP natomiast na prawdziwą stronę logujemy się przez HTTPS czyli szyfrowane, bezpieczne połączenie co jest bardzo ważne.
Co jeszcze budzi podejrzenia w oszukańczym linku? Linia ref= skrót od referrer czyli polecający i do tego na końcu linii z adresem nie nasz adres email.
Prześledźmy więc dalej podejrzaną stronę. Wchodzimy na //www.phishtank.com/ czyli stronę zbierającą informacje na temat podejrzanych i niebezpiecznych witryn oraz witryn z zagrożeniami phishingowymi czyli wykradaniem danych.
W polu szukaj wklejamy //www.facebook.com.piwjiilil.com.pl i klikamy Is it a phish? Wynik jest łatwy do zinterpretowania – czerwony znak i obok napis Is a phish łatwo sugeruje, że strona jest niebezpieczna i została sprawdzona. Sprawdzenie na phishtank odbywa się na podstawie zbierania liczby zgłoszeń z danym adresem. Im więcej pojawia się zgłoszeń, że witryna jest niebezpieczna tym szybciej zapełnia się jej statystyka Is a phish. Gdy osiągnie pewien poziom zgłoszeń zostaje zweryfikowana i finalnie oznaczona jako verified i wystawiona zostaje odpowiednia ocena.
Skoro klikamy to warto mieć na uwadze przeglądarkę jakiej używamy. Zobaczcie sami:
Firefox 3.5.6
Opera 10
Internet Explorer 8
Co widzimy? Dwie z trzech najpopularniejszych przeglądarek z łatwością blokują niebezpieczną stronę natomiast Internet Explorer wpuszcza nas na stronę, która jest dla nas zagrożeniem. W chwili wejścia na stronę przez IE ratuje mnie AVG LinkScanner:
Czym więc jest strona na jaką trafiliśmy? To strona typowo phishingowa – podajesz dane jakie wykorzystywałeś do logowania się w portalu Facebook i trafiają one w ręce niepowołanych osób. W jednej chwili możesz stracić swoje konto przez najzwyklejszą chwilę nieuwagi i pochopności.
Na koniec to co powiedziałem już wcześniej – najpierw czytaj potem klikaj.
Bezpiecznych linków życzę.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj najlepszy antywirus Avast Ultimate. Jeden antywirus zapewni ochronę wszystkim Twoim urządzeniom.
Podobał Ci się ten artykuł?
Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!
Bardzo ciekawy wpis, w sumie nigdy nie wgłębiałem się w analizę takich maili. Po prostu nie klikam w nic co każe mi się zalogować / podać hasło / etc. 🙂
[…] zajrzycie we wcześniejszy z moich wpisów odnośnie sprawdzania wiarygodności e-mail to postępując z jej wskazówkami przejrzymy nagłówki […]
[…] O fałszywych zaproszeniach z Facebook’a pisałem już kiedyś przy okazji artykułu o czytaniu nagłówków fałszywych wiadomości e-mail. […]
Bardzo dobre informacje szukałem jak zablokować taki spam .Trzeba wpisać adres z Return-Path: a nie adres wyświetlany w poczcie
bardzo dobry artykuł!
Bardzo ciekawy wpis, w sumie nigdy nie wglebialem sie w analize takich maili. Po prostu nie klikam w nic co kaze mi sie zalogowac / podac haslo / etc. 🙂
Bardzo dobre informacje szukalem jak zablokowac taki spam .Trzeba wpisac adres z Return-Path: a nie adres wyswietlany w poczcie
bardzo dobry artykul!