ऐसा मत सोचो कि यह केवल आपके बैंकिंग विवरण हैं जो महत्वपूर्ण हैं: आखिरकार, अगर किसी को आपके खाते के लॉगिन पर नियंत्रण प्राप्त होता है तो वे न केवल उस खाते में निहित जानकारी को जानते हैं, लेकिन बाधाएं हैं कि एक ही लॉगिन जानकारी का इस्तेमाल कई अन्य पर किया जा सकता है हिसाब किताब। और यदि वे आपके ईमेल खाते से समझौता करते हैं, तो वे आपके सभी अन्य पासवर्ड रीसेट कर सकते हैं।
तो मजबूत और अलग-अलग पासवर्ड रखने के अलावा, आपको हमेशा वास्तविक चीज़ के रूप में नकली ईमेल के लिए तलाश करना होगा। जबकि अधिकांश फ़िशिंग प्रयास शौकिया हैं, कुछ काफी समझदार हैं, इसलिए यह समझना महत्वपूर्ण है कि सतह के स्तर पर उन्हें कैसे पहचानें और साथ ही वे हुड के नीचे कैसे काम करते हैं।
Asirap द्वारा छवि
सादा दृष्टि में क्या जांच है
हमारे उदाहरण ईमेल, अधिकांश फ़िशिंग प्रयासों की तरह, आपको अपने पेपैल खाते पर गतिविधि की "सूचित करता है" जो सामान्य परिस्थितियों में खतरनाक हो सकता है। तो कॉल टू एक्शन केवल व्यक्तिगत जानकारी के हर टुकड़े को सबमिट करके अपने खाते को सत्यापित / पुनर्स्थापित करना है जिसे आप सोच सकते हैं। फिर, यह सुंदर सूत्र है।
हालांकि निश्चित रूप से अपवाद हैं, हर फिशिंग और घोटाले ईमेल को सीधे संदेश में लाल झंडे से भरा हुआ है। यहां तक कि यदि पाठ दृढ़ता से है, तो आप आमतौर पर संदेश संदेश भर में कई गलतियां पा सकते हैं जो इंगित करते हैं कि संदेश वैध नहीं है।
संदेश बॉडी
- "पेपैल" - सही मामला "पेपैल" (पूंजी पी) है। आप संदेश में दोनों भिन्नताओं का उपयोग कर सकते हैं। कंपनियां अपने ब्रांडिंग के साथ बहुत जानबूझकर हैं, इसलिए यह संदेहजनक है कि ऐसा कुछ सबूत प्रक्रिया को पार करेगा।
- "ActiveX को अनुमति दें" - आपने कितनी बार एक कानूनी वेब आधारित व्यवसाय देखा है, पेपैल का आकार एक मालिकाना घटक का उपयोग करता है जो केवल एक ब्राउज़र पर काम करता है, खासकर जब वे एकाधिक ब्राउज़रों का समर्थन करते हैं? निश्चित रूप से, कहीं बाहर कुछ कंपनी करता है, लेकिन यह एक लाल झंडा है।
- "सुरक्षित रूप से।" - ध्यान दें कि यह शब्द शेष अनुच्छेद पाठ के साथ मार्जिन में कैसे नहीं चलता है। यहां तक कि अगर मैं खिड़की को थोड़ा और बढ़ाता हूं, तो यह सही ढंग से लपेटता या स्थान नहीं लेता है।
- "पेपैल!" - विस्मयादिबोधक चिह्न से पहले की जगह अजीब लगती है। बस एक और quirk जो मुझे यकीन है कि एक कानूनी ईमेल में नहीं होगा।
- "पेपैल- खाता अपडेट फॉर्म.pdf.htm" - पेपैल क्यों "पीडीएफ" संलग्न करेगा, खासकर जब वे सिर्फ अपनी साइट पर किसी पृष्ठ से लिंक कर सकते हैं? इसके अतिरिक्त, वे एक HTML फ़ाइल को पीडीएफ के रूप में छिपाने का प्रयास क्यों करेंगे? यह उन सभी का सबसे बड़ा लाल झंडा है।
संदेश हैडर
- पते से [email protected] है।
- पता पता गुम है। मैंने इसे खाली नहीं किया, यह बस मानक संदेश शीर्षलेख का हिस्सा नहीं है। आम तौर पर एक कंपनी जिसका नाम है, वह आपको ईमेल को वैयक्तिकृत करेगा।
संलगन
जब मैं अनुलग्नक खोलता हूं, तो आप तुरंत देख सकते हैं कि लेआउट सही नहीं है क्योंकि इसमें शैली की जानकारी गुम है। फिर, पेपैल एक HTML फॉर्म क्यों ईमेल करेगा जब वे आपको बस अपनी साइट पर एक लिंक दे सकते हैं?
ध्यान दें: हमने इसके लिए जीमेल के अंतर्निहित एचटीएमएल अटैचमेंट व्यूअर का इस्तेमाल किया, लेकिन हम अनुशंसा करेंगे कि आप स्कैमर से अनुलग्नक न खोलें। कभी नहीँ। कभी। उनमें अक्सर शोषण होते हैं जो आपके पीसी पर ट्रोजन को आपके खाते की जानकारी चुराने के लिए इंस्टॉल करेंगे।
तकनीकी टूटना
हालांकि यह स्पष्ट रूप से स्पष्ट होना चाहिए कि सादे दृष्टि में क्या है कि यह एक फिशिंग प्रयास है, अब हम ईमेल के तकनीकी मेकअप को तोड़ने जा रहे हैं और देखें कि हम क्या पा सकते हैं।
अनुलग्नक से जानकारी
पहली बार एक अटैचमेंट फॉर्म का HTML स्रोत है जो फर्जी साइट पर डेटा सबमिट करता है।
स्रोत को तुरंत देखते समय, सभी लिंक वैध दिखाई देते हैं क्योंकि वे या तो "paypal.com" या "paypalobjects.com" को इंगित करते हैं जो दोनों कानूनी हैं।
ईमेल हेडर से जानकारी
इसके बाद हम कच्चे ईमेल संदेश शीर्षकों पर एक नज़र डालेंगे। जीमेल यह संदेश पर मूल मेनू विकल्प दिखाएँ के माध्यम से उपलब्ध कराता है।
डेटा कहां जाता है?
इसलिए हमने स्पष्ट रूप से यह निर्धारित किया है कि यह एक फ़िशिंग ईमेल है और इस बारे में कुछ जानकारी एकत्र की है कि संदेश कहां से आया था, लेकिन आपका डेटा कहां भेजा गया है इसके बारे में क्या?
इसे देखने के लिए, हमें पहले एचटीएम अटैचमेंट को अपना डेस्कटॉप करना होगा और टेक्स्ट एडिटर में खोलना होगा। इसके माध्यम से स्क्रॉल करना, सबकुछ क्रम में प्रतीत होता है जब हम किसी संदिग्ध दिखने वाले जावास्क्रिप्ट ब्लॉक को छोड़ देते हैं।
किसी भी समय जब आप जावास्क्रिप्ट ब्लॉक में एम्बेडेड प्रतीत होता है यादृच्छिक अक्षरों और संख्याओं की एक बड़ी जुआ वाली स्ट्रिंग देखते हैं, तो यह आमतौर पर कुछ संदिग्ध होता है। कोड को देखते हुए, चर "x" को इस बड़े स्ट्रिंग पर सेट किया गया है और फिर चर "y" में डीकोड किया गया है। परिवर्तनीय "वाई" का अंतिम परिणाम तब दस्तावेज़ के लिए HTML के रूप में लिखा जाता है।
चूंकि बड़ी स्ट्रिंग संख्या 0-9 और अक्षर ए-एफ से बना है, इसलिए यह संभवतः हेक्स रूपांतरण के लिए एक साधारण ASCII के माध्यम से एन्कोड किया गया है:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
अनुवाद करता है:
यह एक संयोग नहीं है कि यह एक वैध HTML फॉर्म टैग में डीकोड करता है जो परिणाम पेपैल को नहीं भेजता है, बल्कि एक दुष्ट साइट पर भेजता है।
इसके अतिरिक्त, जब आप फ़ॉर्म के HTML स्रोत को देखते हैं, तो आप देखेंगे कि यह फ़ॉर्म टैग दृश्यमान नहीं है क्योंकि यह जावास्क्रिप्ट के माध्यम से गतिशील रूप से जेनरेट किया गया है। एचटीएमएल वास्तव में क्या कर रहा है यह छिपाने का एक चालाक तरीका है अगर किसी को सीधे संलग्नक के जेनरेट किए गए स्रोत को देखना था (जैसा कि हमने पहले किया था) जैसा कि सीधे टेक्स्ट एडिटर में अटैचमेंट खोलने के विपरीत था।
विज्ञानवाद एक अच्छा बचाव है
जब ऑनलाइन सुरक्षित रहने की बात आती है, तो यह कभी भी संदिग्धता का थोड़ा सा दर्द नहीं होता है।
हालांकि मुझे यकीन है कि उदाहरण ईमेल में और अधिक लाल झंडे हैं, हमने ऊपर जो बताया है वह संकेतक हैं जिन्हें हमने कुछ ही मिनटों के बाद देखा था। Hypothetically, अगर ईमेल के सतह के स्तर ने अपने वैध समकक्ष 100% नकल की, तो तकनीकी विश्लेषण अभी भी अपनी असली प्रकृति को प्रकट करेगा। यही कारण है कि यह आयात करने में सक्षम होने के लिए आयात किया जा सकता है कि आप क्या कर सकते हैं और देख नहीं सकते हैं।
