Sådan analyseres phishing-e-mails

Vi modtog alle e-mails fra kilder, som vi ikke kendte. Disse e-mails kan undertiden dreje sig om en faktura, og nogle gange om en e-mail-anmeldelse, som vi ikke læser på vores outlook-konto. Blandt os var der nødvendigvis dem, der klikkede på det og stjal deres personlige oplysninger. (Kom nu, vi kan alle begå fejl :)) Det vigtigste er, at vi ikke falder ind i denne phishing-linje efter det. Så vi er nødt til at være opmærksomme på denne slags socialtekniske tricks. I denne artikel vil jeg vise dig, hvordan du kan forstå, at mailen phishing eller ej. Således kan du lave din analyse derhjemme.

Som du kan se, ser det ud som en normal Outlook-login-side. Indtil her er alt normalt, men hvis du tjekker URL-delen, vil du se f.eks. "Https: // www [.] Your-job.info/vrfy/[email protected] [.] Com" Lad os acceptere, at du fik dette link fra din Outlook-mail. Til phishing-retsmedicin er der nogle grundlæggende websteder såsom: * Urlscan.io * Tallosintelligence.com * Virustotal.com

Stort set bruger jeg urlscan.io, fordi du kan se, om der er en destinationsside eller ej. Webadresser kan også give dig meget information om webadressen. For eksempel kan du se omdirigeringskæden, når søgningen er afsluttet. Jeg vil forklare dem alle med billeder.

Bemærk: Linksne er generelt ikke korte som den her. Vi er nødt til at komme efter “url = (http …… ..) & data. Dette betyder, at vi har brug for brikken efter “url =” før “& data”. Denne specifikke del, som vi har brug for.

URLSCAN.IO

Som du kan se, søger mange brugere efter nogle mistænkelige links. Nu vil jeg bruge vores "phishing" -link i knappen "URL til scanning".

Der er dog nogle vigtige ting her. For det første skal vi overveje privatlivets fred her. Fordi disse type links kan indeholde brugeroplysninger. Derfor er vi nødt til at foretage nogle ændringer af linket. Dette kan være som at ændre selve e-mailen. ([email protected]).

Nu er vi klar til at søge.

Dette er den første side, når scanningen er udført. Du har nogle sektioner øverst som oversigt, HTTP, opførsel, IoC'er, lignende, DOM, indhold og API. Vi bruger generelt Resume, HTTP, DOM sider som en sikkerhedsanalytiker. Men selvfølgelig afhænger det af dit formål, hvad du vil opnå.

Resumé

Denne del beskriver de generelle oplysninger om webstedet, såsom kontaktede IP-adresser med lande, domæner, HTTP-transaktioner, IPv6-information, placering, selve domænet TLS-certifikat gyldigt osv. En anden funktion er, at det viser webstedet, der er mærket som ondsindet eller ej . På billedet kan du se dette mærket som et ondsindet websted. Du kan også se, hvor mange gange det søges på urlscan

HTTP

Her kan vi se metoder som GET, eller det kan også være POST. Du kan se status, ressourcesti, datastørrelse, type, IP-placering. Her har vi nogle jpg- og svg-filer, men også i et andet eksempel kunne du se .js-filerne. Du kan også klikke på Vis svar for dem.

Opførsel

Her kan vi se nogle objekter og urlscans kategori, tag, phishing mod funktioner. Der er også globale globale variabler til identificering af mulige rammer og koder på klientsiden.

IoCs

Som beskrevet på billedet beskriver dette indikatorer omkring angrebet som IP'er, hash, domæner osv.

Lignende

Det indeholder webadresser med en lignende struktur og giver oplysninger om, hvornår den blev sendt, og størrelsen på det HTTP forbinder flag og placering.

DOM

Document Object Model viser os strukturen på webstedet. Her i kan vi undersøge URL-adressen dybere, generelt leder vi efter js-koder

Indhold

Her er vi i stand til at se POST-metoder til denne sag. Hvis du ruller ned, vil du kunne se tekstindhold derudover.

Talos intelligens

Det sted, du kan indsætte webadressen.

Resultaterne.

Virus i alt

Du kan downloade en fil, indsætte en URL, eller du kan foretage søgninger efter hash, IP-adresse eller domæne.

Som du kan se dette, kontroller forskellige kilder om selve URL-adressen. Hver kilde har eget tag til URL'en.

Online krølle

Dette er virkelig nyttigt, hvis Proxy eller Firewall blokerer for dig. Fordi du kan gøre vores anmodning på dette websted. For vores eksempel er output som;

Der er nogle vigtige punkter her. Nogle phishing-kampagner er målrettet mod specifikke geografier, det betyder, at hvis du ikke er på det rigtige sted til phishing (som en placering), vil du sandsynligvis blive omdirigeret til en eller anden uafhængig side, f.eks. Wikipedia osv.

Konklusion

Dette er virkelig en grundlæggende. I dag bliver phishing-angreb mere smartere og hårde opdaget. Angriberen udvikler altid kreative sociale ingeniørtricks og tekniske måder. Derfor er vi nødt til at følge nye phishing-kampagner ofte. Der er mange kilder på Internettet. Der er tusinder af blogs om cybersikkerhed og nyhedswebsted om bare cybersikkerhed. Du kan følge nogle af dem. I de stadig igangværende kampagner kan jeg anbefale “phishtank.com” for at spore kampagnerne. Hold din opdatering, spis ikke agn.

Tak skal du have !