Pocztowy detektyw czyli sprawdzamy wiarygodność maili.

SPAM czyli niechciana poczta to tylko jeden problem – obecnie wielu dostawców pocztowych stara się oszczędzić nam przygód z wiadomościami śmieciami już na poziomie serwera pocztowego przechwytując i odpowiednio oznaczając lub przenosząc do specjalnego folderu zbędne wiadomości tu za wyznacznik jakości osobiście uważam Gmail, którego moduł antyspamowy jest naprawdę skuteczny.

Reklamy i inne niechciane materiały to część niechcianych wiadomości – drugie są groźniejsze bardzo często stosując techniki phishingowe służą do wykradania naszych danych do kont i usług, a w groźniejszych przypadkach nawet do kont bankowych.

Na przykładzie wiadomości phishingowej udającej wiadomość z portalu Facebook pokażę jak sprawdzić wiarygodność wiadomości i w kilka sekund dowiedzieć się czy to co czytamy faktycznie pochodzi z naszego zaufanego portalu czy jest dobrze spreparowaną próbą oszustwa.

Pierwsza zasada bezpieczeństwa!
Najpierw czytaj potem klikaj, nie odwrotnie. Przeczytaj treść wiadomości, przyjrzyj się jej. Nie musisz się w nią wpatrywać namiętnym wzrokiem to przecież nie gra w znajdź 7 różnic ale jeśli widzisz coś niepokojącego lub wyglądającego nie tak jak zawsze to poświęć minutkę czy dwie na zbadanie wiadomości dla własnego dobra.

Kliknij obrazek i zobacz porównanie fałszywej wiadomości od Facebook i prawdziwej. Pierwsza i istotna różnica to język wiadomości jaką otrzymałeś. Jeśli otrzymywałeś zawsze maile w języku polskim to wiadomość w języku np. angielskim automatycznie powinna budzić Twoje podejrzenia.
Druga istotna sprawa – wiadomość jest adresowana do Ciebie i np. Facebook zawsze zwraca się bezpośrednio do użytkownika rozpoczynając wiadomość „Witaj Arkadiusz!”, a nie jak widać na mistyfikacji „Dear facebook user,” (Drogi użytkowniku facebooka).

Administracja portalu wie do kogo konto należy, jakie podał w nim dane w tym imię i to imię wykorzystywane jest w mailingach – w fałszywej wiadomości jest zwrot uniwersalny bo preparując fałszywą wiadomość oszuści nie są w stanie zdobyć imion adresatów.

Ostatnia już nie tak oczywista różnica to stopka wiadomości. W oryginale jest informacja, że jeśli nie wyrażasz zgody na takie wiadomości to kliknij aby anulować subskrypcję czego w fałszywej wiadomości nie znajdziecie i śpieszę wyjaśnić dlaczego. Jest tam zaszyty link z zaszyfrowanym adresem e-mail jaki ma zostać wyrejestrowany z subskrypcji czego oszuści nie są w stanie spreparować. Link wygląda mniej więcej tak:

//www.facebook.com/o.php?c&k=c708fa&u=100000396275514&mid=1678#########8ef3aG9749fG2b

Kilka znaków celowo zastąpiłem symbolem #. Kliknięcie w taki link otwiera stronę wymagającą potwierdzenia chęci wyrejestrowania się z list powiadomień.

Sugerowałem, że to mniej oczywista różnica bo w stopki niewielu czytelników zagląda, a już na pewno niewielu z nas interesuje się ich treścią.

Druga zasada bezpieczeństwa!
Skoro na pierwszy rzut oka coś nie wygląda za dobrze z wiadomością to pod żadnym pozorem nie klikaj w żadne linki jakie są w niej podane. Później wyjaśnię jakie linki są zaszyte w fałszywej wiadomości jaką się posługuję i przybliżę ich zasadę działania.

Jak sprawdzić czy wiadomość jest prawdziwa czy oszustwem?

1. Zobacz od kogo przyszła wiadomość – w powyższym przykładzie widać, że adresy są bardzo podobne w budowie jak również domena z jakiej wiadomość pochodzi to facebookmail.com więc wygląda ok prawda?
2. Zobacz do kogo wysłano wiadomość – prawdziwa wiadomość została wysłana przez facebook do mnie i ja widnieję jako jej adresat – w końcu administracja portalu wie do kogo się zwraca. W fałszywej wiadomości natomiast adresatem jest zupełnie nieznana mi osoba.

Jeśli któryś z powyższych punktów ma miejsce również w Twoim przypadku to pora przejść do sedna sztuki – nagłówki wiadomości.

„Doklejany” do wiadomości przez serwer pocztowy nagłówek jest nie do oszukania. Jedyny wyjątek to pole from – tak właśnie w omawianym przypadku jest podstawiony w fałszywej wiadomości e-mail adres nadawcy z domeny facebookmail.com – jest to zapisane w nagłówkach.

To co widać w polu nadawca lub From w naszym programie pocztowym da się oszukać ale to co jest w nagłówkach w polu adres nadawcy i adres zwrotny już jest nie do oszukania.

Zacznijmy więc od tego jak nagłówki sobie wyświetlić. W przypadku Gmail sprawa jest prosta i wygodna:

W przeglądarce w czytanej wiadomości klikamy zaznaczoną na czerwono strzałkę i z menu wybieramy pokaż oryginał – nagłówki wyświetlą się w nowym oknie.

W klientach pocztowych natomiast:

• Thunderbird – Zaznacz wiadomość, po prawej stronie kliknij przycisk inne i wybierz z listy pokaż źródło.
• Windows Mail – kliknij wiadomość prawym, wybierz właściwości, zakładkę szczegóły i przycisk źródło wiadomości.
• The Bat! – zaznacz wiadomość, kliknij prawym specjalne -> Pokaż źródło lub skrót klawiszowy F9.

Skoro widzisz już nagłówki wiadomości to teraz zobaczmy co ciekawego się w nich kryje i na co warto zwracać uwagę sprawdzając wiadomość:

Standardowe nagłówki:

From: "Facebook"
To:
Subject: Facebook account update
Date: Sat, 26 Dec 2009 20:35:07 -0300

• From – od kogo – to właśnie pole da się oszukać
• To – do kogo
• Subject – temat
• Date – czas otrzymania

Standardowe nagłówki są domyślnie wyświetlane przy przeglądaniu wiadomości mail – zawsze widać kto do kogo napisał, kiedy i jaki jest temat wiadomości.

Zaawansowane nagłówki:

Return-Path:

Return-Path to ścieżka zwrotna tu widać prawdziwy adres nadawcy i tego adresu już nie da się podmienić tak jak ma to miejsce w przypadku pola From. Widzimy od kogo – facebookmail.com ale jeśli odpowiemy na tą wiadomość to trafi ona na adres jaki widnieje w Return-Path czyli adresie zwrotnym.

Kolejny raz zaznaczam, że pole From widać domyślnie i widzimy nie koniecznie prawdziwy adres zwrotny natomiast ścieżka zwrotna jest zaszyta w nagłówkach i nie zawsze musi być taka sama jak w polu From – oszuści znają nagłówki i wiedzą co domyślnie widać, a czego nie i wierzcie mi wykorzystują tą wiedzę.

Received: from 190-51-159-103.speedy.com.ar ([190.51.159.103])
by mx.google.com with ESMTP id 28si21547701eyg.12.2009.12.26.15.35.19;
Sat, 26 Dec 2009 15:35:50 -0800 (PST)

Odebrano z 190-51-159-103.speedy.com.ar przez mx.google.com (serwer Gmail – odbiorca).

Co istotnego jest w tym właśnie nagłówku? Domena z jakiej wiadomość została wysłana – w oszukanym nadawcy widzimy facebookmail.com ale wysłane z speedy.com.ar?

Sprawdźmy więc coś więcej na temat tej domeny. Wchodzimy na witrynę: //whois.domaintools.com/ wpisujemy interesującą nas domenę i klikamy lookup. Dowiemy się na kogo domena jest zarejestrowana, gdzie i jakie są istotne informacje na jej temat. Jak widać mamy wystarczający dowód aby pod żadnym pozorem nie ufać żadnej treści w tej wiadomości – facebook na pewno nie będzie do nas pisał z domeny zarejestrowanej w Argentynie na Pana Federico Leonel Stellato i należącej do Telefonica de Argentina S.A. w Buenos Aires.

Zobaczmy teraz nagłówek prawdziwego maila od Facebook:

Received: from mx-out.facebook.com (elektroda.net [10.10.17.20])
by elektroda.net (Mail System Elektroda.net) with ESMTP id 4F8EDD8C059
for <****@elektroda.net>; Tue, 13 Oct 2009 14:28:48 +0200 (CEST)

Już sam nagłówek Received czyli od kogo otrzymano wiele nam powie – mx-out.facebook.com czyli serwer pocztowy Facebooka.

Return-Path:

Adres zwrotny również kieruje nas na facebook czyli jest taki sam jak ten, który widzimy w polu From – nadawca.

Co jeszcze istotnego jest w prawdziwej wiadomości czego nie znajdziemy w fałszywej?

DKIM-Signature: v=1; a=rsa-sha1; d=facebookmail.com; s=q1-2009b; c=relaxed/relaxed;
q=dns/txt; i=@facebookmail.com; t=1255436927;
h=From:Subject:Date:To:MIME-Version:Content-Type;
bh=Ns7kt1r5XmjD/ow92y3v7IS7fNQ=;
b=CWO8toahQp6LsdFZ5tbgkbvY5eRjWSQwv6jBNp4XhiTEDObF1DfdfGWrXl33KTjk
29f/2aT5M0t0KiAO7F2RWA==;

Sygnatura czyli informacja o użyciu klucza RSA (klucz kryptograficzny) informujący nas, że wiadomość została przesłana z potwierdzeniem certyfikatem TLS lub SSL czyli przez bezpieczne, szyfrowane połączenie.

Jak wynika z lektury powyższych informacji raptem kilka kroków, a tym samym poświęcenie 1-2 min naszego cennego czasu może nam oszczędzić przygód z oszustami, zainfekowania komputera wirusem lub nawet utraty konta w tym przypadku tylko na portalu społecznościowym Facebook ale sami zastanówcie się co mogłoby nas spotkać jeśli to była by wiadomość z np. banku, w którym macie konto? Znane są przypadki fałszywych mailingów podszywających się pod banki nawet polskie np. BZ WBK stał się nie tak dawno ofiarą sprytnych oszustów i zaczęły krążyć fałszywe wiadomości łudząco podobne do oryginalnych, rozsyłanych przez bank.

Co jeśli zamiast czytania zaczęlibyśmy klikać w linki w wiadomości? Sami zobaczcie:

Wiadomość informowała nas o nowym, bezpieczniejszym sposobie korzystania z konta w Facebook, który wymaga zmiany sposobu logowania się do konta. kliknięcie w link jaki w wiadomości był podany przenosi nas na stronę łudząco podobną do oryginalnej ale…. w języku angielskim co dla nas już powinno być wystarczająco podejrzane.
Co jeszcze jest podejrzanego w tym linku? Popatrzmy na adres strony na jakiej jesteśmy:

//www.facebook.com.piwjiilil.com.pl/usersdirectory/LoginFacebook.php?ref=44358495087505554058892771503453403896988472602752625556301
8192265696219206&email=person@kerger.net

Już sam wpis w adresie piwjiilil.com.pl jest wystarczającym powodem żeby się nie logować na tej stronie!
Prawdziwa strona logowania to: https://login.facebook.com/login.php?

Jaka jest istotna różnica? Oszuści zapraszają nas przez HTTP natomiast na prawdziwą stronę logujemy się przez HTTPS czyli szyfrowane, bezpieczne połączenie co jest bardzo ważne.

Co jeszcze budzi podejrzenia w oszukańczym linku? Linia ref= skrót od referrer czyli polecający i do tego na końcu linii z adresem nie nasz adres email.

Prześledźmy więc dalej podejrzaną stronę. Wchodzimy na //www.phishtank.com/ czyli stronę zbierającą informacje na temat podejrzanych i niebezpiecznych witryn oraz witryn z zagrożeniami phishingowymi czyli wykradaniem danych.

W polu szukaj wklejamy //www.facebook.com.piwjiilil.com.pl i klikamy Is it a phish? Wynik jest łatwy do zinterpretowania – czerwony znak i obok napis Is a phish łatwo sugeruje, że strona jest niebezpieczna i została sprawdzona. Sprawdzenie na phishtank odbywa się na podstawie zbierania liczby zgłoszeń z danym adresem. Im więcej pojawia się zgłoszeń, że witryna jest niebezpieczna tym szybciej zapełnia się jej statystyka Is a phish. Gdy osiągnie pewien poziom zgłoszeń zostaje zweryfikowana i finalnie oznaczona jako verified i wystawiona zostaje odpowiednia ocena.

Skoro klikamy to warto mieć na uwadze przeglądarkę jakiej używamy. Zobaczcie sami:

Firefox 3.5.6

Opera 10

Internet Explorer 8

Co widzimy? Dwie z trzech najpopularniejszych przeglądarek z łatwością blokują niebezpieczną stronę natomiast Internet Explorer wpuszcza nas na stronę, która jest dla nas zagrożeniem. W chwili wejścia na stronę przez IE ratuje mnie AVG LinkScanner:

Czym więc jest strona na jaką trafiliśmy? To strona typowo phishingowa – podajesz dane jakie wykorzystywałeś do logowania się w portalu Facebook i trafiają one w ręce niepowołanych osób. W jednej chwili możesz stracić swoje konto przez najzwyklejszą chwilę nieuwagi i pochopności.

Na koniec to co powiedziałem już wcześniej – najpierw czytaj potem klikaj.

Bezpiecznych linków życzę.

___

Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj najlepszy antywirus Avast Ultimate. Jeden antywirus zapewni ochronę wszystkim Twoim urządzeniom.