Connect with us

technokrata

Az öt legkülönösebb adathalász támadás

Dotkom

Az öt legkülönösebb adathalász támadás

Önmagát akaratlanul megfertőző támadó, és helyi képekre hivatkozás – az utóbbi időkben látott legkülönösebb kísérletek ötös toplistája.

Nem mindegyik adathalász doktorált az adathalászatból, így néha érdekes és mulatságos kódrészletekre lehet bukkanni az Interneten. A Symantec ötös listája:

5. – helyi képekre való hivatkozás
Az adathalászok néha nem ellenőrzik, hogy minden hivatkozást jól konvertáltak-e. A lustább csak megnézi a lapot a saját rendszerében, hogy jól jelenik-e meg. Sajnos ez a módszer nem mutatja meg, hogy néhány kép, bár jól jelenik meg, de a saját rendszerből töltődik be. Ennek az eredménye egy olyan adathalász webhely, ahonnan képek hiányoznak, viszont néhány információt elárul a támadóról.

Példa: img src=“file:///F:/Documents%20and%20Settings/doneminem***/Desktop/cgi-bin/formsloginb_files/fine_privati.gif…

4. – „Saved from” (Innen mentett) linkek
Néhány eszköz, például az Internet Explorer a lap elmentésekor a webhelyet is hozzáteszi. Ez jó emlékeztető arra, hogy honnan is lett letöltve. Magától értetődik, hogy az ilyen „saved from” linkek egy adathalász webhelyen holtbiztosan utalnak a weblap csaló jellegére, és még a csaló weblap-magángyűjteményét is felfedhetik.

Példa: saved from url=(0055)http://163.XXX.YYY.ZZ/cloz/paypal/accountprocessing…

3. – rosszindulatú kóddal fertőzött adathalász-készletek
Aki a tűzzel játszik, könnyen megégeti magát, így aztán az adathalászat is kozmás egy kicsit. Az adathalászok gyakran kikapcsolják a vírusirtót a saját rendszerükben (már ha egyáltalán telepítettek ilyet), hiszen nem akarják, hogy legújabb teremtményük rögtön az örök bitvadászmezőkre kerüljön. Ez persze azt jelenti, hogy tudniuk kell, mit tesznek, hiszen a máshonnan származó veszélyek lesben állnak. Így aztán nem meglepő, hogy gyakran látunk fertőzött csaló HTML fájlokat vagy nemkívánatos kártevőt tartalmazó adathalász-készletet. Egy francia PayPal adathalász készlet például a saját magát az adott könyvtár neve+.exe néven különböző könyvtárakba másoló W32.Rontokbro@mm család egyik változatával volt fertőzött. Persze azt is felmerülhet, hogy ez szándékos volt, de egy fertőzött adathalász webhely nem marad sokáig észrevétlen.

2. – Google Analytics és reklámcsíkok
Ha az adathalász egy eredeti webhelyet másol, általában mindent eltávolít, ami nem igazán szükséges azon, és ami elárulhatná a helyét, így a helyben tükrözött képeket is. Néhány támadó azonban teljesen valószerűvé akarja tenni művét (vagy csak nem gondol bele a dolgokba), és az összes reklámcsíkra mutató linket benne hagyja. Így aztán az átverés áldozatául esett cég még egy kis pénzhez is juthat a megjelenített reklámokból. Egyik-másik adathalász még a Google Analytics linkjeit is ott hagyja a weboldalon, így aztán a valódi cég később kielemezheti, honnan is kerültek az emberek a csaló webhelyre, és mennyire volt hatékony az átverés.

1. – a meggyőző hátsó ajtók
A bevetésre kész adathalász-készletek igen nagy részének hátsó bejárata van. Ez azt jelenti, hogy a parancsállomány az összes begyűjtött hitelesítési információt egy másik, rejtett e-mail címre is elküldi. Így aztán adathalászok halásszák le az adathalászok fogását. Némely programozó megpróbálja igazán jól elrejteni a hátsó ajtót, például képnek álcázza, vagy JavaScripttel kavarja meg a kódot. A legfurcsább hátsó ajtó, amivel mostanában találkoztunk, egy base64-kódolású parancs volt, ami a dekódoláskor egy tömböt hozott létre, amelyet egy későbbi használatra szánt e-mail cím létrehozására használtak. A szerző megpróbálta meggyőzni az új adathalászt arról, hogy ne távolítsa el ezt a hátsó ajtót, mondván: „ez hasznára lesz az átverésnél”. De lehet-e hinni egy csaló szavának? Nem valószínű…



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés