פישינג פישינג פישינג
המייל הזה הגיע היום-
כותרת: מידע מקוון על פריטים אשר נשלחו באמצעות דואר שליחים
תוכן המייל: לא ניתן לשלוח את החבילה שלך היום עקב עמלות שחרור ממכס נוספות. הוא יימסר מיד עם תשלום העלות (10.56 שקלים).
ואז היה לינק לתשלום עבור החבילה שלי.
בואו נדבר עליו.
1. קודם מה שקופץ לעין
סימן חשוד ראשון הוא שהמייל מגיע בלי שום פניה אישית: הוא לא אומר לי איזו חבילה, למי מיועדת, מה מספר משלוח וכן הלאה.
סימן חשוד שני הוא שגיאות הדקדוק. חבילה בעברית היא נקבה.
סימן חשוד שלישי הוא כתובות ה"מאת" ו"אל", הדואר הגיע מאת support@letoltokozpont.silverpc.hu שלא נראה בכלל כמו כתובת של הדואר, ויועד לכתובת אימייל שלי שאני לא משתמש בה להזמנת משלוחים. שימו לב שבג'ימייל אתם יכולים להוסיף סימן פלוס ואחריו מספר ואז אתם מקבלים כתובת אחרת שמגיעה לאותה תיבה, כלומר כל הכתובות האלה:
foo@gmail.com
foo+1@gmail.com
foo+2@gmail.com
foo+3@gmail.com
foo+4@gmail.com
יגיעו לאותה תיבת ג'ימייל. אפשר להשתמש בזה כדי לזהות שירותים מסוימים שאתם ניגשים אליהם, למשל אפשר להזמין משלוחים תמיד מהכתובת שמסתיימת במספר 17, ואז אם מישהו פונה לכל כתובת מייל אחרת שלכם אתם יודעים שהוא לא מרשות הדואר.
2. דף התשלום
אנחנו כבר די בטוחים שההודעה מזויפת ולכן זה הזמן פשוט למחוק אותה. נכון, יש האקרים מאוד מתוחכמים שיכולים לפרוץ לכם למחשב אפילו דרך שליחת הודעה (רק מזה שפתחתם את המייל), אבל יש הרבה יותר האקרים שיצטרכו שתלחצו על לינק כדי לעשות נזק.
אני לקחתי בשבילכם ובשביל המשחק את הסיכון אז בואו נמשיך.
לחיצת כפתור ימני על הקישור ו"העתק קישור" מגלה לי שהטקסט "לשלם עבור החבילה שלי" היה לוקח אותי לעמוד הבא:
https://service.israelpost.co.il.umaenterprise.net/
הטריק כאן הוא מאוד פשוט - יש כתובת שההתחלה שלה נראית כמו דואר ישראל אבל הסיומת מראה לנו שזה דומיין אחר ולא קשור לדואר. צריך לזכור שכל אחד יכול לשנות את החלק השמאלי של כתובת אינטרנט אבל זה החלק הימני שקובע, וצריך תמיד לקרוא את הכתובות האלה מימין לשמאל.
הדומיין umaenterprise.net לא נראה כמו משהו שקשור לדואר. בכניסה לאתר הבית בדומיין אני מגלה ש uma זה ספק טלקום הודי, שוב קשה לראות קשר לדואר ישראל. ככל הנראה מדובר במערכת שמאפשרת לאנשים ליצור אתרים עם איזשהו סאבדומיין לבחירתם וככה אותו תוקף יצר את הכתובת של אתר הפישינג.
אפילו אם התפתיתי עד לכאן והגעתי לאתר התשלום חשוב לשים לב לכמה מאפיינים שם:
הדומיין שמופיע בשורת הכתובת של הדפדפן מסתיים ב umaenterprise.net.
נכון, יש לוגו של דואר ישראל, אבל הטופס באנגלית וגם הלוגו באנגלית. המייל שהם שלחו לי היה בעברית.
הם מבקשים ממני מספר טלפון ישראלי אבל בכל זאת מציינים במפורש את הקידומת של ישראל 972 בטופס.
אין בטופס שום פרטים מזהים על המשלוח שלי.
מיטיבי לכת יוכלו ללחוץ View Page Source על אותו העמוד ולראות שאין שם הפניה לחברת כרטיסי אשראי ובמקום זה הטופס מפנה לקובץ php פנימי באתר. בתשלום בכרטיס אשראי תמיד היינו מצפים לראות את פרטי האשראי נשלחים לספק תשלומים מוכר.
3. כותרות ותוכן ההודעה
בתוכנת הדואר שלי יש כפתור "Show Raw Message". בג'ימייל התווית היא Show Original, בכל מקרה, זה מה שקיבלתי כשלחצתי עליו:
Return-Path: <support@letoltokozpont.silverpc.hu>
Received: from compute1.internal (compute1.nyi.internal [10.202.2.41])
by sloti45n26 (Cyrus 3.5.0-alpha0-4585-ga9d9773056-fm-20220113.001-ga9d97730) with LMTPA;
Mon, 31 Jan 2022 09:38:33 -0500
X-Cyrus-Session-Id: sloti45n26-1643639913-2945080-2-12629018722928771173
X-Sieve: CMU Sieve 3.0
X-Spam-known-sender: no
X-Spam-sender-reputation: 500 (none)
X-Spam-score: 3.0
X-Spam-hits: DCC_CHECK 1.1, HTML_IMAGE_ONLY_20 0.7, HTML_MESSAGE 0.001, ME_NOAUTH 0.01,
ME_SENDERREP_NEUTRAL 0.001, RDNS_NONE 1.274, SPF_HELO_NONE 0.001,
SPF_NONE 0.001, T_REMOTE_IMAGE 0.01, LANGUAGES unknown, BAYES_USED none,
SA_VERSION 3.4.2
X-Spam-source: IP='84.21.7.29', Host='noreverse', Country='HU', FromHeader='hu',
MailFrom='hu'
X-Spam-charsets: subject='UTF-8', plain='UTF-8', html='UTF-8'
X-Resolved-to: ynonperek@fastmail.com
X-Delivered-to: info@tocode.co.il
X-Mail-from: support@letoltokozpont.silverpc.hu
Received: from mx1 ([10.202.2.200])
by compute1.internal (LMTPProxy); Mon, 31 Jan 2022 09:38:33 -0500
Received: from mx1.messagingengine.com (localhost [127.0.0.1])
by mailmx.nyi.internal (Postfix) with ESMTP id 4340D66016D
for <info@tocode.co.il>; Mon, 31 Jan 2022 09:38:32 -0500 (EST)
Received: from mx1.messagingengine.com (localhost [127.0.0.1])
by mx1.messagingengine.com (Authentication Milter) with ESMTP
id 1F529134C53;
Mon, 31 Jan 2022 09:38:32 -0500
ARC-Seal: i=1; a=rsa-sha256; cv=none; d=messagingengine.com; s=fm2; t=
1643639912; b=gOCji1cbMYdvVrCcU6uWH3CgFFjSAycnvocZ/REheC2jEm05nU
1Tq5GnMb0m6IPvqLflnrhDVyWgEpPfilzOV4kpd2+sYGFZWNHKcwWb7jGiDUP9R3
TtpXTpFlX4M4BCgVINCvZgydBP1tui385QfGkYC7S+tTYTaDAPeMHBWbeoablAgS
BHgkczQ7rSAa2QrtqGx9Y2ig6SI3enogOsQu1m6nEIoFH0KGGH+EU6TK4XSxEmBu
NU03ZO55q+v+FqX7t7D8FzFb+eMVtg4ZCbkm0SgAENdoyDlv1pj4xH4qJVxwYjWe
vWnZrjnuAy6A/Ncz+WodfbHCICh7Kp4RqilQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=
messagingengine.com; h=to:subject:date:from:message-id
:mime-version:content-type:content-transfer-encoding; s=fm2; t=
1643639912; bh=ZqgTTpzfQAWUD0xYG177cmhdpkV33R1FmY/uaEr5sjo=; b=P
oZ9eav23+IDhhisoI3kTgvB4AKv3jdgn1cradnh+s4GBkeBSEVpb6WYaqP9OVr9S
y7FirUot7b8VepI3jza/1jngMe4ZxIT4wsq1yW/kdK6mvq9La3VLH/Bhfnr0H43b
T7e36HoQPWzG12AhEdRif3L7SnILgVEq+mex9ODOdu08P+b0VyK06mf0DfYyd2PJ
WOe8177RG5NeIoiHc8mtH1cMwzbs/VtpLaDTvQMCE2mety76iIQkpzrVTuhP56wW
/CN3UYkE9E3fr9ywBzQMQb/8WsH7WNXgS8do9R3TrUlytH/rG+hME6EcZ4x/KDzx
2blgfCqkeQs0LVFjjK9Yw==
ARC-Authentication-Results: i=1; mx1.messagingengine.com;
x-csa=none;
x-me-sender=none;
x-ptr=fail smtp.helo=vps.silverpc.hu policy.ptr="";
bimi=skipped (DMARC did not pass);
arc=none (no signatures found);
dkim=invalid (public key: not available, 0-bit key sha256)
header.d=letoltokozpont.silverpc.hu
header.i=@letoltokozpont.silverpc.hu header.b=UqLOs+Bk
header.a=-sha256 header.s=mail x-bits=0;
dmarc=none policy.published-domain-policy=none
policy.applied-disposition=none policy.evaluated-disposition=none
(p=none,d=none,d.eval=none) policy.policy-from=p
header.from=letoltokozpont.silverpc.hu;
iprev=fail smtp.remote-ip=84.21.7.29
(Error NXDOMAIN looking up 84.21.7.29 PTR,NOT FOUND);
spf=none smtp.mailfrom=support@letoltokozpont.silverpc.hu
smtp.helo=vps.silverpc.hu
X-ME-Authentication-Results: mx1.messagingengine.com;
x-aligned-from=pass (Address match);
x-return-mx=warn header.domain=letoltokozpont.silverpc.hu
policy.org_domain=silverpc.hu policy.is_org=no policy.mx_error=NOERROR
(A Records found: 172.67.175.58,104.21.31.64)
(AAAA Records found: 2606:4700:3035:0:0:0:6815:1f40,2606:4700:3035:0:0:0:ac43:af3a);
x-return-mx=warn smtp.domain=letoltokozpont.silverpc.hu
policy.org_domain=silverpc.hu policy.is_org=no policy.mx_error=NOERROR
(A Records found: 172.67.175.58,104.21.31.64)
(AAAA Records found: 2606:4700:3035:0:0:0:ac43:af3a,2606:4700:3035:0:0:0:6815:1f40);
x-tls=pass smtp.version=TLSv1.2 smtp.cipher=ECDHE-RSA-AES256-GCM-SHA384
smtp.bits=256/256;
x-vs=clean score=30 state=0
Authentication-Results: mx1.messagingengine.com;
x-csa=none;
x-me-sender=none;
x-ptr=fail smtp.helo=vps.silverpc.hu policy.ptr=""
Authentication-Results: mx1.messagingengine.com;
bimi=skipped (DMARC did not pass)
Authentication-Results: mx1.messagingengine.com;
arc=none (no signatures found)
Authentication-Results: mx1.messagingengine.com;
dkim=invalid (public key: not available, 0-bit key sha256)
header.d=letoltokozpont.silverpc.hu
header.i=@letoltokozpont.silverpc.hu header.b=UqLOs+Bk
header.a=-sha256 header.s=mail x-bits=0;
dmarc=none policy.published-domain-policy=none
policy.applied-disposition=none policy.evaluated-disposition=none
(p=none,d=none,d.eval=none) policy.policy-from=p
header.from=letoltokozpont.silverpc.hu;
iprev=fail smtp.remote-ip=84.21.7.29
(Error NXDOMAIN looking up 84.21.7.29 PTR,NOT FOUND);
spf=none smtp.mailfrom=support@letoltokozpont.silverpc.hu
smtp.helo=vps.silverpc.hu
X-ME-VSCause: gggruggvucftvghtrhhoucdtuddrgedvvddrgedugdeijecutefuodetggdotefrodftvf
curfhrohhfihhlvgemucfhrghsthforghilhdpggftfghnshhusghstghrihgsvgdpuffr
tefokffrpgfnqfghnecuuegrihhlohhuthemuceftddtnecuogfuuhhsphgvtghtkfhmgh
ffohhmrghinhculdeftddmnecujfgurhepvffufffhkfggtgfgsegrkehjphdttdejnecu
hfhrohhmpefkshhrrggvlhcuphhoshhtuceoshhuphhpohhrtheslhgvthholhhtohhkoh
iiphhonhhtrdhsihhlvhgvrhhptgdrhhhuqeenucggtffrrghtthgvrhhnpeekffefkefg
ieffueehffevtdfgfffggeejkeektdegieejkedttdetgfektdetgeenucffohhmrghinh
epuhhmrggvnhhtvghrphhrihhsvgdrnhgvthenucfkphepkeegrddvuddrjedrvdelnecu
vehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehinhgvthepkeegrddvuddrjedrvd
elpdhhvghlohepvhhpshdrshhilhhvvghrphgtrdhhuhdpmhgrihhlfhhrohhmpeeoshhu
phhpohhrtheslhgvthholhhtohhkohiiphhonhhtrdhsihhlvhgvrhhptgdrhhhuqe
X-ME-VSScore: 30
X-ME-VSCategory: clean
X-ME-CSA: none
Received-SPF: none
(letoltokozpont.silverpc.hu: No applicable sender policy available)
receiver=mx1.messagingengine.com;
identity=mailfrom;
envelope-from="support@letoltokozpont.silverpc.hu";
helo=vps.silverpc.hu;
client-ip=84.21.7.29
Received: from vps.silverpc.hu (unknown [84.21.7.29])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by mx1.messagingengine.com (Postfix) with ESMTPS
for <info@tocode.co.il>; Mon, 31 Jan 2022 09:38:30 -0500 (EST)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=letoltokozpont.silverpc.hu; s=mail;
h=Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:From:Date:Subject:To; bh=ZqgTTpzfQAWUD0xYG177cmhdpkV33R1FmY/uaEr5sjo=;
b=UqLOs+BkYvMc9UVA7H0FX5ZoqnzgFQQCrwpPekZ5vLutmgGcVIz1P2E7QdCvh3QDnEb3A8IwH0KOBN0KAilKkTVJ1cdGK5Po2Mvn/FvyLs0Y+M00nkauVk4LCzzYTtYBbC5NT3hLmUY+W8IAPbIP4+PiqmYzLsYXd5haTh0s93I=;
Received: from admin by vps.silverpc.hu with local (Exim 4.84_2)
(envelope-from <support@letoltokozpont.silverpc.hu>)
id 1nEXp6-00032X-W1
for info@tocode.co.il; Mon, 31 Jan 2022 14:38:29 +0000
To: info@tocode.co.il
Subject: =?UTF-8?B?157XmdeT16Ig157Xp9eV15XXnyDXotecINek16jXmdeY15nXnSDXkNep16gg?= =?UTF-8?B?16DXqdec15fXlSDXkdeQ157Xptei15XXqiDXk9eV15DXqCDXqdec15nXl9eZ?= =?UTF-8?B?150=?=
X-PHP-Originating-Script: 1001:leafv4.php
Date: Mon, 31 Jan 2022 14:38:28 +0000
From: Israel post <support@letoltokozpont.silverpc.hu>
Message-ID: <290fd56e329304789de69abf5b9ed389@letoltokozpont.silverpc.hu>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_290fd56e329304789de69abf5b9ed389"
Content-Transfer-Encoding: 8bit
This is a multi-part message in MIME format.
--b1_290fd56e329304789de69abf5b9ed389
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
לא ניתן לשלוח את החבילה שלך היום עקב עמלות שחרור ממכס נוספות. הוא יימסר מיד עם תשלום העלות (10.56 שקלים)
לשלם עבור החבילה שלי
--b1_290fd56e329304789de69abf5b9ed389
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 8bit
<p style="text-align: left;"><img class="xmprfx_center xmprfx_fixedwidth" style="text-decoration: none; max-width: 227px; height: auto; width: 100%; display: block; border: 0px; margin-left: auto; margin-right: auto;" src="https://upload.wikimedia.org/wikipedia/commons/thumb/a/ac/DHL_Logo.svg/800px-DHL_Logo.svg.png" alt="" width="227" align="center" border="0" /></p>
<p style="text-align: left;"> </p>
<center style="font-size: 15px; line-height: 1.4;"></center>
<p style="text-align: center;">לא ניתן לשלוח את החבילה שלך היום עקב עמלות שחרור ממכס נוספות. הוא יימסר מיד עם תשלום העלות (10.56 שקלים)</p>
<p style="text-align: center;"><a href="https://service.israelpost.co.il.umaenterprise.net/" target="_blank" rel="noopener">לשלם עבור החבילה שלי</a></p>
<p style="font-size: 13px; color: #717074; font-family: Helvetica,Arial,sans-serif;"><img class="xmprfx_center xmprfx_fixedwidth" style="text-decoration: none; max-width: 292px; height: auto; width: 100%; display: block; border: 0px; margin-left: auto; margin-right: auto;" src="https://tbcdn.talentbrew.com/company/1706/v1_0/img/map-world-large.png" alt="" width="292" align="center" border="0" /></p>
<p style="font-size: 13px; color: #717074; font-family: Helvetica, Arial, sans-serif; text-align: center;"><img class="xmprfx_center xmprfx_fixedwidth" style="text-decoration: none; max-width: 130px; height: auto; width: 100%; border: 0px;" src="https://www.freeiconspng.com/uploads/dhl-icon-12.png" alt="" width="130" align="center" border="0" /></p>
<center style="font-size: 15px; line-height: 1.4;"></center>
--b1_290fd56e329304789de69abf5b9ed389--
אני עובר שורה שורה על הדברים הכי חשודים. כבר בשורה הראשונה אנחנו רואים כותרת שמתיחסת לדומיין בהונגריה:
Return-Path: <support@letoltokozpont.silverpc.hu>
וזה ממשיך עם:
X-Spam-source: IP='84.21.7.29', Host='noreverse', Country='HU', FromHeader='hu',
MailFrom='hu'
אין סיבה שדואר ישראל ישלחו מייל דרך שרת בהונגריה. אחרי זה יש כמה דברים שאני לא מבין ואז אני מגיע ל:
Authentication-Results: mx1.messagingengine.com;
dkim=invalid (public key: not available, 0-bit key sha256)
את dkim אני מכיר. זה מנגנון שמאפשר למערכות ששולחות דואר אלקטרוני לוודא שהדואר אכן הגיע מהדומיין שממנו הוא טוען שהוא הגיע, במקום לדוגמה שמישהו סתם השאיר מעטפה על השרת וקיווה לטוב. הוא עושה את זה באמצעות שימוש בחתימה דיגיטלית והאימות שלו דורש בדיקה של מפתח ציבורי שרשום בדומיין שממנו כביכול המייל נשלח. תשוו את זה ל dkim בהודעה אמיתית מדואר ישראל:
Authentication-Results: mx.google.com;
dkim=pass header.i=@postil.com header.s=post1 header.b="PTXUV/e6";
spf=pass (google.com: domain of noreply@postil.com designates 68.232.156.189 as permitted sender)
וקל לראות את ההבדל בין ה invalid בדואר המזויף לבין אישור הדומיין עם הסיומת postil.com בדואר האמיתי.
אני מקווה שנתתי לכם כאן מספר כלים לזהות דואר מזויף ורמאויות רשת. צריך להגיד - הרבה רמאויות רשת שניתקל בהן יהיו מתוחכמות בהרבה מהדוגמה פה בפוסט. הדבר שהכי יוצר אמון ברמאויות רשת זה פרטים מזהים, וזאת לדעתי החשיבות של שמירה על פרטיות ברשת: ככל שלתוקפים יש יותר פרטים מזהים עלינו, כך יהיה להם יותר קל לשלוח הודעות מטורגטות שיגרמו לנו להאמין למסר ובאמת לשלם לאותו נוכל.
בדוגמה שלנו אם ההודעה היתה בעברית תקינה, כוללת מספר משלוח אמיתי שאני באמת מחכה לו, מציינת את השם שלי והכתובת שלי ומתי הזמנתי את המוצר, אז היה הרבה יותר סיכוי שהייתי נופל בפח הזה.