ဒီနေ့ပြောပြသွားမှာကတော့ Phishing Email တွေဝင်လာရင် Phishing ဟုတ်မဟုတ် ဘယ်လိုစစ်ဆေးလို့ရမလဲဆိုတာကို ပြောပြပေးသွားမှာပါ .. ဒီ Analysis နည်းတွေဟာ လက်ရှိ Security Operations Center (SOC) တွေမှာ လက်တွေ့အသုံးချနေတဲ့နည်းတွေဖြစ်ပြီး Cyber Security knowledge မရှိတဲ့လူတွေအနေနဲ့ လိုက်လုပ်လို့ရအောင် အသင့်အတင့်လွယ်ကူစေမယ့်နည်းလမ်းတွေနဲ့ လုပ်ပြပေးထားတာဖြစ်ပါတယ်

Cyber Security လောကမှာ ပြောလေ့ရှိတဲ့စကားကတော့ ဆိုင်ဘာတိုက်ခိုက်မှုလုပ်တဲ့အခါ လုံခြုံရေးအားနည်းချက်ရှာရင် အားအနည်းဆုံးအရာဟာ လူ (human) တွေပဲဖြစ်တယ်ဆိုတာပါပဲ .. Modern Organisation တွေမှာ သူတို့ Network တွေကို ကာကွယ်ဖို့ နောက်ဆုံးပေါ်နည်းပညာတွေ Tools တွေအသုံးပြုထားတယ်ဆိုရင် ဟက်ကာဖက်က Technically ထိုးဖောက်ဖို့ခဲယဥ်းပါတယ်

ဒါကြောင့် weakest link ဖြစ်တဲ့ Cyber Security knowledge မရှိတဲ့လူတွေကိုပစ်မှတ်ထားပြီး တိုက်ခိုက်တယ်ဆိုရင် hack ဖို့ပိုလွယ်တယ်လို့ယူဆလို့ရပါတယ် .. Employee ရဲ့ Account ကို လိုချင်ရင် Username, Password တောင်းတဲ့ Phishing Link ပို့တာတွေ, Malware ထည့်ချင်ရင် Phishing Email ထဲ Attachment တစ်ခုထည့်ပေးလိုက်ပြီး အဲ့ Attachment မှာ Malware မြှုပ်ပေးလိုက်တာတွေက လက်တွေ့မှာအမြဲတမ်းမြင်တွေ့နေရတဲ့ Phishing Attack တွေပဲဖြစ်ပါတယ်

ဒစ်ဂျစ်တယ်ခေတ်မှာ လုံလုံခြုံခြုံနေချင်တယ်ဆိုရင် Phishing Email တွေကို ခွဲခြမ်းစိတ်ဖြာနိုင်ဖို့ လိုအပ်လာပါပြီ .. ဒါကြောင့် ဒီ Blog လေးကို ရေးပေးလိုက်ပါတယ်

Intro နည်းနည်းများသွားပြီဆိုတော့ စလိုက်ရအောင် .. အောက်ကပုံကတော့ ကျွန်တော့်ဆီရောက်လာတဲ့ Phishing Email ပဲဖြစ်ပါတယ် .. ဒါကို Sample အနေနဲ့သုံးပြီး Analyse လုပ်ပြသွားမှာပါ

Picture 1 – Phishing Email Overview

ဒါကတော့ ​Inbox ထဲရောက်လာတဲ့ Phishing Email ပါ .. PayPal အနေနဲ့ယောင်ဆောင်ပြီး Phishing Link ပို့လာတာဖြစ်ပါတယ် .. ဒီနေရာမှာ ကြည့်ရမှာက မြှားပြထားတဲ့နေရာတွေဖြစ်တဲ့

– Email Sender – servic͎e@͎pa⁩y͏͏͏͎͏p⁩a౹[.]c⁩o⁩⁩͎m͎

– Subject – Yo͏u͏͏r ac͏͏͏co͏͏un͏͏͏t cu͏͏r͏rent͏͏͏ly r͏es͏͏tri͏͏͏cte͏d P󠀋POJZY5APCC77C

– To – mail364177@paypal23512297y8xld3pah[.]update

– Reply-To – LensCrafters

တို့ပဲဖြစ်ပါတယ် .. ဒါကိုကြည့်လိုက်ရင် သာမာန် Email သုံးနေကျလူတိုင်းသဘောပေါက်ပါတယ် .. Email ရဲ့ Subject အရ Account ကိုပိတ်လိုက်ပြီဆိုပြီး အရေးပေါ်ပုံစံဖြစ်အောင်ရေးသားထားပါတယ် .. အရေးပေါ်အခြေအနေဆိုရင် လူတွေဟာစိုးရိမ်စိတ်ကြောင့် ဘာမှမစဥ်းစားပဲခိုင်းတဲ့အတိုင်းလုပ်မိတတ်လို့ လူတွေရဲ့အားနည်းချက်ကိုအသုံးချတာပါ

Picture 2 – Phishing URL

ဒီ Email မှာ Link တစ်ခုပါပါတယ် .. ဒီ Link ကိုမနှိပ်ပဲ Mouse Cursor ထောက်ကြည့်လိုက်ရင် URL ကိုအတိုင်းသားမြင်ရမှာပါ .. အပေါ်ကပုံမှာတွေ့တဲ့အတိုင်း Link က PayPal domain (www[.]paypal[.]com) ကလာတာမဟုတ်ပဲ တခြား Domain ကိုမြင်ရမှာဖြစ်ပါတယ် .. အဲ့ကတည်းကစပြီးလွဲပါပြီ .. ဒါပေမယ့်ကျွန်တော်တို့ ဒီထက်ပိုသေချာအောင် Header Analysis လုပ်ကြပါမယ် .. Email Header ကိုအသုံးပြုပြီး ပထမပုံမှာမြှားပြထားတဲ့ Sender, Receiver, Reply-To address တို့ဟာ မြင်ရတဲ့ Address တွေ တကယ်ဟုတ်ရဲ့လားဆိုတာ စတင်စစ်ဆေးပါမယ်

ဒီလိုစစ်ဆေးဖို့အတွက် Email Header ကို ယူရပါမယ် .. Header ယူနည်းကိုတော့ အောက်မှာပုံနှင့်တကွကြည့်နိုင်ပါတယ်

Picture 3 – Getting Outlook Email Header

Microsoft Outlook မှာဆို Email ကို Right Click ထောက်ပြီး “View Source” ကိုကြည့် (အထက်ပါပုံအတိုင်း)

Picture 4 – Getting Gmail Email Header

Gmail မှာဆို www[.]gmail[.]com ကိုသွားပြီး Header ယူမယ့် Email ရဲ့ အစက် ၃ စက်ကိုနှိပ်ပြီး “Show Original” ကိုနှိပ်ပါ (အထက်ပါပုံအတိုင်း)

Picture 5 – Getting iCloud Email Header

iCloud Mail မှာဆို www[.]icloud[.]com ကိုသွားပြီး Header ယူမယ့် Email ရဲ့ Share Button ကိုနှိပ်ပြီး “Show All Headers” ကိုနှိပ် (အထက်ပါပုံအတိုင်း)

ကျွန်တော့်ဆီကိုရောက်လာတဲ့ Phishing Email ကတော့ iCloud Email ကိုရောက်လာတာဖြစ်တာကြောင့် iCloud Email Header ကိုယူပြမှာဖြစ်ပါတယ် .. အထက်မှာပြထားတဲ့ “Show All Headers” ကို နှိပ်လိုက်တာနဲ့ Email Header ကိုစမြင်ရပါပြီ .. အောက်ကပုံမှာပြထားတာက Email Header ပါ

Picture 6 – Email Headers

အဲ့ဒီ Email Headers တွေအကုန်လုံးကို Select မှတ် Copy ယူပြီး, Notepad ထဲမှာ .txt file အနေနဲ့ Save ထားလိုက်ပါ .. ပြီးပြီဆိုရင် Analysis စလုပ်လို့ရပါပြီ

Email Header ဆိုတာ Email တစ်စောင်ရဲ့ Information တွေအကုန်ပါဝင်တဲ့အရာပဲဖြစ်ပါတယ် .. ဒီ Email ကိုဘယ် Server တွေကနေတစ်ဆင့်ပို့တယ်, ဘယ်သူက ဘယ်သူ့ကို ဘယ်အချိန်မှာပို့တယ် စတဲ့ Information အကုန်လုံးကို ဒီ Header ထဲမှာမြင်နိုင်ပါတယ်

Picture 7 – Return Path Information in Email Header

ခုနက Text File အနေနဲ့ Save ထားတဲ့ Email Header ကိုဖွင့်ပြီး Ctrl + F (macOS မှာဆို CMD + F) နဲ့ “Return” လို့ရှာလိုက်ပါ .. ပုံမှာတော့ ထိပ်ဆုံးမှာပဲ “Return-path” ဆိုတာကိုမြင်ရမှာဖြစ်ပါတယ် .. Return-path ဆိုတာ ဒီ Email ကို Reply ပြန်လိုက်ရင် ဘယ် Email ဆီကိုရောက်မလဲဆိုတာ Define ထားတဲ့အရာပါ .. ဒါပေမယ့် ဒီ Email Header ကို Raw File ကြီးအတိုင်းလိုက်ကြည့်နေမယ်ဆို မျက်လုံးရှုပ်ပါတယ် .. ဒါကြောင့်ကျွန်တော်တို့ Tools လေးတွေသုံးပြီး Analyse လုပ်ကြည့်ကြရအောင် ၏

Email Header Analysis အတွက် သုံးလို့အဆင်ပြေတဲ့ Tools တွေကတော့ –

1. Phish Tool – https://app.phishtool.com

2. Google Message Header – https://toolbox.googleapps.com/apps/messageheader/analyzeheader

3. Message Header Analyzer – https://mha.azurewebsites.net/

4. Mail Header Analysis – https://mailheader.org/

ဆိုပြီး ၄ ခုရှိပါတယ် .. ကျွန်တော်အကြိုက်ဆုံးကတော့ နံပါတ် Option ဖြစ်တဲ့ Phish Tool ပါ .. ဒါပေမယ့် Phish Tool က Account ဖွင့်ရတာမို့လို့ အလုပ်ရှုပ်ရင် အောက်က Tools တွေ အသုံးပြုလို့ရပါတယ်

ကျွန်တော်ကတော့ Number 3 Option ဖြစ်တဲ့ Message Header Analyzer ကိုအသုံးပြုပြပေးသွားပါမယ်

Picture 8 – Message Header Analyzer

အပေါ်ကပုံမှာပြထားသလို Email Header ကို Text Box ထဲထည့်လိုက်ပြီး Analyze Headers ကိုနှိပ်လိုက်ပါ

Picture 9 – Result Summary
Picture 10 – SPF Result

ပထမပုံမှာ Analyse လုပ်လို့ရလာတဲ့ Result ကို Summary ပြပေးထားတာတွေ့နိုင်ပါတယ် .. အဲ့ဒီမှာမြင်ရတဲ့ From, Reply-to, To ဟာ Picture 1 မှာမြင်ရတာနဲ့ အနည်းငယ်ကွဲပြားနေတာကိုတွေ့ရမှာပါ .. တစ်ခါတလေ Domain Spoof လုပ်ပြီးပို့တဲ့အခါမျိုးမှာဆိုရင်လည်း ကိုယ့်အမြင်မှာတော့ Domain အစစ်ကိုမြင်တွေ့နေရမှာဖြစ်ပေမယ့် တကယ်တမ်း Email Header ကိုစစ်ကြည့်လိုက်မှသာ Sender အစစ်ကိုမြင်တွေ့ရနိုင်ပါတယ် .. နောက်ပြီးဝိုင်းပြထားတဲ့ IP “40.107.237.76” ဟာ Email Server ဖြစ်ပြီး Outlook ရဲ့ Server မို့လို့ Malicious ဖြစ်တယ်ပြောမရဘူး .. ဒီနေရာမှာ တစ်ခြား Phishing Mail တွေဆို Malicious IP ဖြစ်နိုင်တာမို့လို့ www[.]abuseipdb[.]com လို Website မျိုးမှာ IP Reputation ကိုသွားစစ်နိုင်ပါတယ်

ဒါဆိုရင်တော့ရှင်းသွားပါပြီ .. Sender ရဲ့ Email ဟာ uafyt9rq9mlmbbvla2kq@xvbkdegwxjdilp[.]buzz ဖြစ်ပြီး ဒါဟာ PayPal ကမဟုတ်ပါဘူး .. ဒီ Email ကို Reply ပြန်ရင်လည်း Sender ဆီမရောက်ပဲ [email protected][.]com ဆီရောက်သွားမှာဖြစ်ပါတယ်

ဒုတိယပုံမှာပြထားတာက SPF Pass သွားတာဖြစ်ပါတယ် .. Phishing Mail, Spam Mail အများစုဟာ SPF Fail တာကြောင့် Inbox ထဲမရောက်ပဲ Spam/Junk Folder ထဲရောက်ရောက်သွားတတ်ပေမယ့် ဒီ Phishing Mail ဟာတော့ Inbox ထဲကိုစိုက်စိုက်မြိုက်မြိုက်ရောက်ရှိလာတာဖြစ်ပါတယ်

Picture 11 – Phish Tool Result

နောက်ဆုံးအနေနဲ့ပြချင်တာကတော့ Phish Tool မှာစစ်ထားတဲ့ Result ပါ .. Phish Tool ကို Account Create ပြီးသုံးတာအကောင်းဆုံးပါပဲ .. အပေါ်ကပုံမှာပြထားသလိုပဲ Information တွေကို ရှင်းရှင်းလင်းလင်းမြင်တွေ့ရမှာဖြစ်လို့ end user friendly လည်းဖြစ်ပါတယ်

အောက်မှာကတော့ Phishing Email Analysis လုပ်တဲ့နေရာမှာ သုံးလို့ရမယ့် Tools တွေကို သေချာပြန်စုပေးထားတာတွေပါ

Header Analysis Tools

– Message Header – https://toolbox.googleapps.com/apps/messageheader/analyzeheader

– Message Header Analyzer – https://mha.azurewebsites.net/

– Mail Header – https://mailheader.org/

– Phish Tool – https://www.phishtool.com/

Reputation Checkers

– IP info – https://ipinfo.io/ (IP ရဲ့ Information အစုံအလင်ကြည့်နိုင်)

– URL Scan – https://urlscan.io/ (Phishing Email ထဲပါတဲ့ URL တွေကိုတကယ်နှိပ်စရာမလိုပဲ ဘယ် Website ကိုရောက်မလဲဆိုတာ စစ်ကြည့်နိုင်)

– VirusTotal – https://www.virustotal.com/gui/ (Phishing Email ထဲပါတဲ့ IP, URL တွေရဲ့ Reputation ကိုသွားစစ်နိုင်)

– Abuse IP DB – https://www.abuseipdb.com/ (Phishing Email ထဲပါတဲ့ IP ရဲ့ Reputation ကိုသွားစစ်ကြည့်နိုင်)

ဒါကတော့ Phishing Email တစ်ခုကို ဘယ်လိုစစ်ဆေးလို့ရမလဲဆိုတာတင်ပြသွားတာပဲဖြစ်ပါတယ် .. အားလုံးပဲ Cyber Awareness ကောင်းကောင်းတည်ဆောက်နိုင်ပါစေလို့ဆုတောင်းပေးရင်း နိဂုံးချုပ်လိုက်ပါတော့မယ်

Featured Image: GeeksForGeeks

By Pyae Heinn Kyaw

Pyae is a Defensive Cyber Professional, currently working at one of Australia's largest energy retailer.