घोटाला अभियान के अंदर

आइए हम प्राप्त संदेश का एक बुनियादी अवलोकन करने से शुरू करें।

सही फ़िल्टर सेटिंग्स की बदौलत, इसे तुरंत स्पैम फ़ोल्डर में भेज दिया गया। हालांकि, सभी सिस्टमों में ये सेटिंग्स सक्षम या सही ढंग से कॉन्फ़िगर नहीं होती हैं। तो चलिए मान लेते हैं कि, 60% कॉर्पोरेट मेलबॉक्स की तरह, हमारे पास भी ये सेटिंग्स नहीं हैं।

हम जो देख सकते हैं:
1. कार्रवाई का आह्वान। "कार्रवाई आवश्यक"
2. "महत्व" में हेरफेर। "महत्वपूर्ण संदेश विलंबित"
3. प्रेषक में हेरफेर। प्रेषक ही प्राप्तकर्ता भी है

भेजने वाले की पहचान एक कस्टम-निर्मित SMTP संदेश का उपयोग करके बदल दी गई है। यह एक प्रॉक्सी सर्वर से भी गुजरा और एक पाकिस्तानी शैक्षणिक संस्थान के समझौता किए गए क्रेडेंशियल्स का उपयोग किया गया, जैसा कि हम कच्चे ईमेल हेडर्स से देख सकते हैं:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. प्रथम दृश्य

आइए संदेश से लिंक खोलते हैं। चेतावनी: अपने डिवाइस पर संदिग्ध लिंक न खोलें—उनमें वायरस हो सकता है।

Scam "Mail Portal" — घोटाला "मेल पोर्टल"

लिंक निम्न प्रारूप में था: https://****.gitlab.io/#clients@pwn-all.net

हमें लिंक में "GitLab" क्यों दिखता है?

क्योंकि हमलावर ने GitLab की स्टैटिक वेबसाइट होस्ट करने की क्षमता का फायदा उठाया। होस्टिंग अपने आप में कुछ भी असामान्य नहीं है, लेकिन gitlab.io डोमेन से जुड़ा विश्वास डोमेन के विश्वसनीयता कारक को बढ़ाने और कुछ सिस्टम के फ़िल्टर को बायपास करने में मदद करता है।

चरण 1. आइए एक नज़र डालते हैं

आइए देखें कि जब हम इस लिंक पर क्लिक करते हैं तो क्या होता है और हमें हमारी वेबसाइट का होम पेज (हालांकि थोड़ा अजीब) क्यों दिखता है।

Fake mail portal displaying the spoofed company homepage in the background

हम देख सकते हैं कि हमलावर वैध सेवाओं का उपयोग कर रहा है:
Google और ClearBit: फ़ैविकॉन
प्राप्त करने के लिए Thum: वेबसाइट का 1200-पिक्सेल-चौड़ा स्क्रीनशॉट प्राप्त करने के लिए

इसका मुख्य उद्देश्य औसत उपयोगकर्ता का एक नकली वेबसाइट पर विश्वास बढ़ाना है—ताकि वे पृष्ठभूमि में एक परिचित लोगो और एक परिचित कंपनी की वेबसाइट देखें।

चरण 2. डेटा भेजना

मान लीजिए कि हम एक साधारण उपयोगकर्ता हैं जिसने ध्यान नहीं दिया और अपनी जानकारी दर्ज कर दी। आगे क्या होता है?

Outbound network requests triggered after the victim submits their credentials

यहाँ, हम पहले से ही तीसरे पक्ष की सेवाओं जैसे:
1. ipinfo — उपयोगकर्ता के आईपी पते के बारे में जानकारी एकत्र करने के लिए, विशेष रूप से: देश, क्षेत्र, संगठन, अनुमानित स्थान, टाइमज़ोन, और डाक। सबसे अधिक संभावना है कि इसका उपयोग यह निर्धारित करने के लिए किया जाता है कि बाद के लॉगिन के लिए कौन से प्रॉक्सी या वीपीएन का उपयोग करना है या किसी अन्य सोशल इंजीनियरिंग रणनीति के लिए एक ईमेल तैयार करने के लिए।
2. गूगल डीएनएस — एमएक्स रिकॉर्ड प्राप्त करने के लिए जो यह इंगित करता है कि मेलबॉक्स का प्रवेश बिंदु कहाँ है। संभवतः SMTP
के माध्यम से सत्यापन का प्रयास करने के लिए 3. वास्तव में अनुरोध उस प्रॉक्सी पर नहीं, बल्कि हमलावर के वेब सर्वर पर भेजा जाता है।

तो उसके सर्वर के लिए पेलोड में क्या शामिल है?

Data payload sent from the phishing page to the attacker's server

यह मूल रूप से मानक सेट है। लेकिन... सर्वर से प्राप्त प्रतिक्रिया मानक नहीं थी।

जवाब में वह पथ शामिल था जहाँ डेटा सहेजा गया था। यह मज़ाक लग सकता है, लेकिन ऐसा नहीं है।

चरण 3. अंदर

Inside the attacker's collected-data store showing the operator's own test entries

हमलावर की चौंकाने वाली मूर्खता और शोधकर्ताओं की अविश्वसनीय किस्मत। यहाँ, हम तुरंत देख सकते हैं कि ये परीक्षण हमलावर ने स्वयं साइप्रस के आईपी पते का उपयोग करके किए हैं। हम उसका टाइम ज़ोन भी देख सकते हैं, जो साइप्रस के आईपी पते के लिए मानक नहीं है—अर्थात्, वेस्ट अफ्रीका स्टैंडर्ड टाइम। यह काल्पनिक रूप से स्पैमर के वास्तविक स्थान का संकेत दे सकता है।

Log entry showing a Cyprus IP address paired with a West Africa time zone

और, खैर, मुझे लगता है कि हमें किस्मत का साथ मिला। उसके लॉग्स की जांच करने के बाद, हम लागोस, नाइजीरिया के एक बार-बार आने वाले आईपी पते की पहचान करने में कामयाब रहे।

Log entry revealing a recurring IP address from Lagos, Nigeria

और हमने फिर से नाइजीरिया का एक आईपी पता देखा; इस बिंदु पर, हम शायद निश्चित रूप से कह सकते हैं कि यह स्वयं स्पैमर द्वारा किया गया एक परीक्षण था।

दुर्भाग्य से, कई लोग इस जाल में फंस गए, जिनमें एक बैंक, एक पुस्तकालय, एक रियल एस्टेट एजेंसी और अन्य के कर्मचारी शामिल हैं। स्पैमर संभवतः अपने लॉग्स को साफ़ कर रहा था। पीड़ितों और होस्टिंग प्रदाताओं को पहले ही सूचित कर दिया गया है।

आपको इस घोटाले का शिकार होने से बचाने में मदद करने के लिए, हम आपके ईमेल क्लाइंट्स के लिए प्लगइन्स और व्यावसायिक उपयोगकर्ताओं के लिए डेटा उल्लंघन निगरानी सेवाओं के रूप में अपने कॉर्पोरेट समाधान प्रदान करते हैं। व्यक्तियों के लिए भी एक समाधान है जो 600 से अधिक स्रोतों में डेटा चोरी करने वालों, समझौता किए गए वेबसाइटों, या डार्क वेब, टेलीग्राम, या डिस्कोर्ड पर पोस्ट से उनके डेटा के लीक की खोज करते समय गोपनीयता और निजता पर केंद्रित है। डार्कवेब मॉनिटर के बारे में अधिक जानने के लिए लिंक पर क्लिक करें।

चरण 4. सिफ़ारिश

उपयोगकर्ता के मेलबॉक्स तक इसी तरह के फ़िशिंग ईमेल को पहुँचने से रोकने के लिए, SMTP गेटवे स्तर पर कड़े प्रेषक प्रमाणीकरण सत्यापन को लागू करें।

अनुशंसित नियंत्रण:

एक सख्त SPF रिकॉर्ड प्रकाशित करें और बनाए रखें जो के साथ समाप्त होता है -all.
सभी आउटबाउंड ईमेल को DKIM का उपयोग करके साइन करें।
रिजेक्ट नीति के साथ DMARC लागू करें