Sve što ste hteli da znate: forenzika mejlova

Zašto je važna?


Dominantno sredstvo komunikacije i razmene dokumenata i informacija, u poslovnom i svakom drugom kontekstu, mejlovi su poslednjih godina sve popularnija metoda za prevare i napade u digitalnom okruženju. Najčešći način zlonamerne upotrebe elektronske pošte je slanje takozvanih fišing mejlova. Uspešni su jer ih je na prvi pogled teško razlikovati od autentičnih mejlova – ime pošiljaoca je isto kao ime kolege s kojim svakodnevno razmenjujete elektronsku poštu, u naslovu se nalazi sadržaj koji vam je poznat. Međutim, otvaranje takvog mejla može biti korak u ozbiljan rizik po vas ili vašu organizaciju.

Zato je važno upoznati se sa nekim osnovnim forenzičkim metodama radi utvrđivanja autentičnosti mejla i identifikacije pošiljaoca. Tehnike za pronalaženje, analizu i interpretaciju informacija koje se nalaze u mejlu, pomoći će vam da lakše otkrijete fišing mejl i bezbedno utvrdite da li sadrži maliciozne priloge ili lažan link.

Vrste fišing mejlova


Fišing napadi predstavljaju sajber pretnju koja može da se realizuje ne samo preko e-pošte, već i telefonskim pozivom ili tekstualnom porukom. Napadač se predstavlja kao legitimna institucija ili osoba od poverenja da bi na prevaru izvukao osetljive podatke od svoje potencijalne mete. To mogu biti informacije o identitetu, podaci o bankarskim i kreditnim karticama ili lozinke za pristup zaštićenim resursima preko kojih napadač može da  kompromituje uređaje i čitave informacione sisteme. Često se fišing koristi i kao uvod u razne vrste napada u sajber svetu, na primer za ransomver napad ili za instaliranje spajvera (malicioznih programa za špijuniranje uređaja).

Izraz „phishing“ prvi put je upotrebljen i zabeležen 2. januara 1996. godine na jednom Usenet forumu pod nazivom AOHell. Tadašnji glavni provajder America Online poslužio je hakerima i kao nevoljna platforma sa koje su lansirali svoje prve fišing napade. Međutim, metod će postati rasprostranjen tek desetak godina kasnije. 

Prva tužba za fišing podneta je 2004. godine protiv kalifornijskog tinejdžera koji je napravio imitaciju vebsajta provajdera America Online. Preko lažne veb stranice, uspeo je da izvuče osetljive informacije od korisnika i tako zloupotrebio njihove kreditne kartice, podižući novac sa njihovih računa.

Postoje različite vrste zlonamernih e-poruka. Najpre, mogu se klasifikovati u dve velike grupe: targetirani fišing mejlovi i fišing kampanje. U targetirani fišing spadaju namenski sastavljeni mejlovi za ciljane radnike određene organizacije, da bi se došlo do željenih informacija; fišing kampanje igraju na masovnost, a mejlovi se sastavljaju tako da mogu da se šalju nasumično, što većem broju ljudi. Targetirane fišing poruke je mnogo teže otkriti, jer su pažljivo sačinjene da deluju autentično, dok je mejlove za masovno slanje lakše prepoznati, jer obično sadrže neke od tipičnih  karakteristika. Međutim, u oba slučaja forenzika mejlova je korisna veština.

Tipične karakteristike fišing mejlova: 

  1. obično se zahteva neka hitna akcija;
  2. sadrže ili link ili neki prilog;
  3. nedoslednost u imejl adresi pošiljaoca sa imejl adresom osobe ili organizacije koje napadač oponaša; 
  4. nedoslednost u URL adresama sajtova i domenima;
  5. nedoslednost u ekstenzijama dokumenata u prilogu;
  6. zahteva se slanje kredencijala, osetljivih podataka, ličnih podataka, podataka o platnim karticama itd.

Kakve informacije tražimo?


U forenzici je najbitnije sakupiti sve relevantne i korisne informacije o mejlu koji se istražuje. Ovo uključuje informacije koje su vidljive u pregledu samog mejla: mejl adresa pošiljaoca, datum slanja, naziv i tekst mejla, očekivanost takve poruke. Potom sledi detaljnija analiza i provera svih informacija sadržanih u mejlu – da li su autentične, da li odgovaraju onome što se navodi u mejlu, da li je pošiljalac autentičan, legitiman, odnosno osoba ili institucija za koju se predstavlja. Da bi se utvrdila autentičnost, pregledaju se zaglavlje i sadržaj mejla. Kod zaglavlja se traže nepravilnosti analizom IP adresa, DNS zapisa, dok se kod sadržaja analizira sam tekst, prilozi, linkovi i drugo.

Analiza zaglavlja


Važan korak u procesu forenzičke analize e-pošte jeste pregled zaglavlja mejla. Ono sadrži informacije o poruci koje se ne prikazuju direktno u samom telu poruke, kao što su informacije o pošiljaocu, primaocu, vremenu slanja i prijema poruke i putu kojim je poruka prošla pre nego što je stigla do svog krajnjeg odredišta. 

U Gmailu, uključujući e-poštu za bilo koji Google Workspace nalog, celom mejlu se može pristupiti klikom na tri vertikalne tačke u gornjem desnom uglu e-pošte, a zatim odabirom opcije „Prikaži izvorni kod“. To će otvoriti novi tab gde se vide zaglavlje i tekst – mada ne uvek ceo tekst (prilozi su ponekad isključeni). U novom tabu možete preuzeti ceo mejl klikom na dugme „Preuzmi“. 

Tipični podaci koji se mogu pronaći u zaglavlju e-pošte:

  1. Od: Polje u kom se navodi ime i adresa pošiljaoca. U nekim slučajevima, adresa može biti lažna ili promenjena kako bi se prikrio identitet pošiljaoca. Ovo polje se obavezno analizira.
  2. Do: Ovde se navodi ime i adresa primaoca što može biti značajno za forenzičku analizu jer može ukazati na to koja osoba ili organizacija je primalac poruke.
  3. CC i BCC: Ova polja navode druge osobe koje su dobile kopije poruke. CC (Carbon Copy) se odnosi na javno polje, dok se BCC (Blind Carbon Copy) odnosi na skriveno polje koje primaoci ne vide.
  4. Datum i vreme: Ovo polje sadrži trenutak kada poruka poslata ili primljena, što može biti značajno u slučajevima u kojima se vremenski žigovi koriste kao dokazi u istrazi.
  5. X-Mailer: Ovde saznajemo koji su programi ili platforme korišćeni za slanje poruke. Takođe nam  može pružiti informacije o tipu uređaja koji je korišćen za slanje poruke.
  6. Received: Ovo polje navodi sve servere kroz koje je poruka prošla dok je putovala od pošiljaoca do primaoca. Takva informacija može biti značajna za forenzičku analizu, jer može pomoći u identifikaciji lokacija pošiljaoca i primaoca, kao i u identifikaciji servera koji su bili umešani u slanje ili prijem poruke. Ovo polje se obavezno analizira.
  7. DKIM-Signature header: DKIM (DomainKeys Identified Mail) je značajno polje, bezbednosni standard koji koristi asimetričnu enkripciju da bi se osiguralo da je mejl stigao od pravog pošiljaoca. Koristi dva seta ključeva: javni ključ kome može pristupiti svako ko dobije mejl od pošaljioca i privatni, koji se nalazi na mejl serveru pošaljioca. Privatni ključ se koristi za enkripciju, a javni za dekripciju.
  8. Message-ID: Ovo polje sadrži jedinstveni identifikator poruke. Ta informacija može biti korisna u identifikaciji poruke u bilo kojoj fazi istrage.

Kako proveriti domen u mejlu 

Pre analize domena, da pogledamo prvo šta čini mejl adresu. Sastoji se iz dva dela: korisničko ime i domen. Napadači često prave korisničko ime i domen tako da liče na proverene izvore. Među načinima manipulacije domenom, najčešća su tri: 

  1. mogu se koristiti domeni koji su istekli,
  2. može da se zameni domen najvišeg nivoa (top level); na primer, umesto .org može da stoji .com,
  3. može se drugačije ili pogrešno napisati:
  • pogrešno napisani: goggle.com umesto google.com, 
  • dodata tačka ili neki drugi karakter: go.ogle.com umesto google.com, 
  • slova se mogu zameniti brojevima : g00gle.com umesto google.com, 
  • množina umesto jednine ili obrnuto: googles.com umesto google.com, 
  • može se dodati još neka reč: googleresults.com umesto google.com,
  • slova se mogu zameniti sličnim ili istim slovima iz drugih pisama što ljudsko oko ne razlikuje, ali ih kompjuter drugačije čita; na primer, slovo „a“ iz latinične u slovo „a“ iz ćirilične tastature.

Liste blokiranih IP adresa i domena 

Kada se u Received polju u zaglavlju mejla pronađe IP adresa servera sa kog je poslat mejl i u mejl adresi domen, njihova autentičnost može se analizirati na nekom od sajtova koji ažuriraju liste blokiranih IP adresa i domena: 

a) https://multirbl.valli.org/ – pokazuje i podatke o internet provajderu kom pripadaju IP adrese

b) http://www.arin.net/ – pokazuje i podatke o internet provajderu kom pripadaju IP adrese 

c) Spamhaus ZEN – kombinuje sve liste i sadrži verovatno najbolji spisak blokiranih IP adresa. 

Analiza tela (sadržaja) mejla


Pored analize zaglavlja mejla, veoma je važno ispitati i tekst e-pošte. Ključno je utvrditi da li je mejl legitiman i da li zaista dolazi od osobe ili organizacije za koju se pošiljalac izdaje. Cilj jeste da se utvrdi verodostojnost mejla. 

Pregled tela mejla predstavlja analizu samog sadržaja poruke. To uključuje tekst poruke, bilo koje priloge, slike, linkove, kako bi se utvrdilo da li sadrže fišing elemente. Tipični elementi fišinga uključuju lažne linkove, zahtev za prijavu na lažnu stranicu, zahtev za slanje novca i slično. Analiza linkova je ključna kako bi se utvrdilo da li vode na lažne stranice. 

Analiza teksta 

Ispitivanje sadržaja može da obuhvata i analizu govora, što može biti korisno u identifikaciji tonova poruke, kao i u utvrđivanju emocionalne reakcije pošiljaoca i primaoca. Ova analiza se može koristiti za utvrđivanje namera i motiva iza slanja poruke. 

Analiza linkova

Prilikom analiziranja URL adresa u mejlu, najvažnije je paziti da se greškom ne klikne na link, već u internet brauzeru treba potražiti originalnu stranicu i uporediti njenu URL adresu sa linkom ispisanim u mejlu. Za analizu linkova može se naći puno korisnih alata.

Analiza priloga

Prvi korak u ovoj fazi biće analiza formata fajla, odnosno njegove ekstenzije. Neki maliciozni fajlovi mogu imati dodatne ekstenzije, na primer .pdf.zip, a mogu da budu i bez ekstenzije. Neke ekstenzije se često koriste za maliciozne fajlove. Međutim, prisustvo takve ekstenzije govori da fajl može biti, a ne da sigurno jeste opasan. Evo samo nekih primera: 

.zip – Format koji se često koristi za kompresiju i arhiviranje fajlova, što je funkcionalnost koja može da posluži za maskiranje malicioznog softvera unutar fajla. 

.exe – Ova ekstenzija ukazuje na izvršni program, a može biti korišćena za instaliranje malvera.

.bat – Koristi se za „batch“ skripte i može sadržati naredbe koje će pokrenuti malver.

.vbs – Ova ekstenzija se koristi za Visual Basic skripte, koje mogu biti maliciozne.

.js – Poznata ekstenzija za JavaScript fajlove, koji mogu sadržati maliciozni kod.

.msi – Ekstenzija Microsoft Installer fajlova, koji se mogu koristiti za instaliranje malvera.

.scr – Ova se koristi za screensaver fajlovi, koji mogu biti maskirani kao nešto drugo, ali u stvari sadrže maliciozni kod.

.dll – Ekstenzija za dinamičke biblioteke, koje se često koriste za napade na softverske ranjivosti.

Prilikom analiziranja linkova i priloga, treba biti oprezan da se slučajno ne klikne na njih, a obavezno treba koristiti softver za antivirusnu zaštitu koji otkriva i sprečava maliciozne fajlove. 

Korisni alati


VirusTotal 

VirusTotal omogućava analiziranje sumnjivih priloga, linkova, IP adresa i domena kako bi se otkrilo da li je nešto zaraženo malicioznim softverom. Ono što se kopira u ovaj alat, automatski se deli sa bezbednosnom zajednicom, pa treba paziti da se ne kopiraju fajlovi koji sadrže poverljive informacije. Alat omogućava korišćenje premijum opcije. 

PhishTool 

Alat koji može automatizovano da analizira potencijalne zlonamerne mejlove je PhishTool. Umesto pojedinačnog analiziranja i prelaženja svih navedenih koraka, potencijalno zlonamerni mejl se može prebaciti u PhishTool i analizirati. Postoji opcija da se nalog na ovom servisu poveže sa VirusTotal nalogom. Takođe postoji besplatna verzija PhishTool alata koja se može preuzeti i koristiti.

Korisni dodatni materijali: 

Fišing test

Darknet Diaries – Podkast o sajber kriminalu koji se često bavi spam i fišing mejlovima



Ninoslava Bodganović je ekspertkinja za sajber bezbednost u SHARE Fondaciji. Njeno polje delovanja su analiza stanja digitalne bezbednosti i izgradnja bezbednosnih mera i procedura u organizacijama kako bi se zaštitile od sajber napada i pružanje pomoći u slučaju sajber incidenata.

Čitaj još: