ဒီနေ့ပြောပြသွားမှာကတော့ Phishing Email တွေဝင်လာရင် Phishing ဟုတ်မဟုတ် ဘယ်လိုစစ်ဆေးလို့ရမလဲဆိုတာကို ပြောပြပေးသွားမှာပါ .. ဒီ Analysis နည်းတွေဟာ လက်ရှိ Security Operations Center (SOC) တွေမှာ လက်တွေ့အသုံးချနေတဲ့နည်းတွေဖြစ်ပြီး Cyber Security knowledge မရှိတဲ့လူတွေအနေနဲ့ လိုက်လုပ်လို့ရအောင် အသင့်အတင့်လွယ်ကူစေမယ့်နည်းလမ်းတွေနဲ့ လုပ်ပြပေးထားတာဖြစ်ပါတယ်
Cyber Security လောကမှာ ပြောလေ့ရှိတဲ့စကားကတော့ ဆိုင်ဘာတိုက်ခိုက်မှုလုပ်တဲ့အခါ လုံခြုံရေးအားနည်းချက်ရှာရင် အားအနည်းဆုံးအရာဟာ လူ (human) တွေပဲဖြစ်တယ်ဆိုတာပါပဲ .. Modern Organisation တွေမှာ သူတို့ Network တွေကို ကာကွယ်ဖို့ နောက်ဆုံးပေါ်နည်းပညာတွေ Tools တွေအသုံးပြုထားတယ်ဆိုရင် ဟက်ကာဖက်က Technically ထိုးဖောက်ဖို့ခဲယဥ်းပါတယ်
ဒါကြောင့် weakest link ဖြစ်တဲ့ Cyber Security knowledge မရှိတဲ့လူတွေကိုပစ်မှတ်ထားပြီး တိုက်ခိုက်တယ်ဆိုရင် hack ဖို့ပိုလွယ်တယ်လို့ယူဆလို့ရပါတယ် .. Employee ရဲ့ Account ကို လိုချင်ရင် Username, Password တောင်းတဲ့ Phishing Link ပို့တာတွေ, Malware ထည့်ချင်ရင် Phishing Email ထဲ Attachment တစ်ခုထည့်ပေးလိုက်ပြီး အဲ့ Attachment မှာ Malware မြှုပ်ပေးလိုက်တာတွေက လက်တွေ့မှာအမြဲတမ်းမြင်တွေ့နေရတဲ့ Phishing Attack တွေပဲဖြစ်ပါတယ်
ဒစ်ဂျစ်တယ်ခေတ်မှာ လုံလုံခြုံခြုံနေချင်တယ်ဆိုရင် Phishing Email တွေကို ခွဲခြမ်းစိတ်ဖြာနိုင်ဖို့ လိုအပ်လာပါပြီ .. ဒါကြောင့် ဒီ Blog လေးကို ရေးပေးလိုက်ပါတယ်
Intro နည်းနည်းများသွားပြီဆိုတော့ စလိုက်ရအောင် .. အောက်ကပုံကတော့ ကျွန်တော့်ဆီရောက်လာတဲ့ Phishing Email ပဲဖြစ်ပါတယ် .. ဒါကို Sample အနေနဲ့သုံးပြီး Analyse လုပ်ပြသွားမှာပါ
ဒါကတော့ Inbox ထဲရောက်လာတဲ့ Phishing Email ပါ .. PayPal အနေနဲ့ယောင်ဆောင်ပြီး Phishing Link ပို့လာတာဖြစ်ပါတယ် .. ဒီနေရာမှာ ကြည့်ရမှာက မြှားပြထားတဲ့နေရာတွေဖြစ်တဲ့
– Email Sender – servic͎e@͎pay͏͏͏͎͏pa౹[.]co͎m͎
– Subject – Yo͏u͏͏r ac͏͏͏co͏͏un͏͏͏t cu͏͏r͏rent͏͏͏ly r͏es͏͏tri͏͏͏cte͏d PPOJZY5APCC77C
– To – mail364177@paypal23512297y8xld3pah[.]update
– Reply-To – LensCrafters
တို့ပဲဖြစ်ပါတယ် .. ဒါကိုကြည့်လိုက်ရင် သာမာန် Email သုံးနေကျလူတိုင်းသဘောပေါက်ပါတယ် .. Email ရဲ့ Subject အရ Account ကိုပိတ်လိုက်ပြီဆိုပြီး အရေးပေါ်ပုံစံဖြစ်အောင်ရေးသားထားပါတယ် .. အရေးပေါ်အခြေအနေဆိုရင် လူတွေဟာစိုးရိမ်စိတ်ကြောင့် ဘာမှမစဥ်းစားပဲခိုင်းတဲ့အတိုင်းလုပ်မိတတ်လို့ လူတွေရဲ့အားနည်းချက်ကိုအသုံးချတာပါ
ဒီ Email မှာ Link တစ်ခုပါပါတယ် .. ဒီ Link ကိုမနှိပ်ပဲ Mouse Cursor ထောက်ကြည့်လိုက်ရင် URL ကိုအတိုင်းသားမြင်ရမှာပါ .. အပေါ်ကပုံမှာတွေ့တဲ့အတိုင်း Link က PayPal domain (www[.]paypal[.]com) ကလာတာမဟုတ်ပဲ တခြား Domain ကိုမြင်ရမှာဖြစ်ပါတယ် .. အဲ့ကတည်းကစပြီးလွဲပါပြီ .. ဒါပေမယ့်ကျွန်တော်တို့ ဒီထက်ပိုသေချာအောင် Header Analysis လုပ်ကြပါမယ် .. Email Header ကိုအသုံးပြုပြီး ပထမပုံမှာမြှားပြထားတဲ့ Sender, Receiver, Reply-To address တို့ဟာ မြင်ရတဲ့ Address တွေ တကယ်ဟုတ်ရဲ့လားဆိုတာ စတင်စစ်ဆေးပါမယ်
ဒီလိုစစ်ဆေးဖို့အတွက် Email Header ကို ယူရပါမယ် .. Header ယူနည်းကိုတော့ အောက်မှာပုံနှင့်တကွကြည့်နိုင်ပါတယ်
Microsoft Outlook မှာဆို Email ကို Right Click ထောက်ပြီး “View Source” ကိုကြည့် (အထက်ပါပုံအတိုင်း)
Gmail မှာဆို www[.]gmail[.]com ကိုသွားပြီး Header ယူမယ့် Email ရဲ့ အစက် ၃ စက်ကိုနှိပ်ပြီး “Show Original” ကိုနှိပ်ပါ (အထက်ပါပုံအတိုင်း)
iCloud Mail မှာဆို www[.]icloud[.]com ကိုသွားပြီး Header ယူမယ့် Email ရဲ့ Share Button ကိုနှိပ်ပြီး “Show All Headers” ကိုနှိပ် (အထက်ပါပုံအတိုင်း)
ကျွန်တော့်ဆီကိုရောက်လာတဲ့ Phishing Email ကတော့ iCloud Email ကိုရောက်လာတာဖြစ်တာကြောင့် iCloud Email Header ကိုယူပြမှာဖြစ်ပါတယ် .. အထက်မှာပြထားတဲ့ “Show All Headers” ကို နှိပ်လိုက်တာနဲ့ Email Header ကိုစမြင်ရပါပြီ .. အောက်ကပုံမှာပြထားတာက Email Header ပါ
အဲ့ဒီ Email Headers တွေအကုန်လုံးကို Select မှတ် Copy ယူပြီး, Notepad ထဲမှာ .txt file အနေနဲ့ Save ထားလိုက်ပါ .. ပြီးပြီဆိုရင် Analysis စလုပ်လို့ရပါပြီ
Email Header ဆိုတာ Email တစ်စောင်ရဲ့ Information တွေအကုန်ပါဝင်တဲ့အရာပဲဖြစ်ပါတယ် .. ဒီ Email ကိုဘယ် Server တွေကနေတစ်ဆင့်ပို့တယ်, ဘယ်သူက ဘယ်သူ့ကို ဘယ်အချိန်မှာပို့တယ် စတဲ့ Information အကုန်လုံးကို ဒီ Header ထဲမှာမြင်နိုင်ပါတယ်
ခုနက Text File အနေနဲ့ Save ထားတဲ့ Email Header ကိုဖွင့်ပြီး Ctrl + F (macOS မှာဆို CMD + F) နဲ့ “Return” လို့ရှာလိုက်ပါ .. ပုံမှာတော့ ထိပ်ဆုံးမှာပဲ “Return-path” ဆိုတာကိုမြင်ရမှာဖြစ်ပါတယ် .. Return-path ဆိုတာ ဒီ Email ကို Reply ပြန်လိုက်ရင် ဘယ် Email ဆီကိုရောက်မလဲဆိုတာ Define ထားတဲ့အရာပါ .. ဒါပေမယ့် ဒီ Email Header ကို Raw File ကြီးအတိုင်းလိုက်ကြည့်နေမယ်ဆို မျက်လုံးရှုပ်ပါတယ် .. ဒါကြောင့်ကျွန်တော်တို့ Tools လေးတွေသုံးပြီး Analyse လုပ်ကြည့်ကြရအောင် ၏
Email Header Analysis အတွက် သုံးလို့အဆင်ပြေတဲ့ Tools တွေကတော့ –
1. Phish Tool – https://app.phishtool.com
2. Google Message Header – https://toolbox.googleapps.com/apps/messageheader/analyzeheader
3. Message Header Analyzer – https://mha.azurewebsites.net/
4. Mail Header Analysis – https://mailheader.org/
ဆိုပြီး ၄ ခုရှိပါတယ် .. ကျွန်တော်အကြိုက်ဆုံးကတော့ နံပါတ် Option ဖြစ်တဲ့ Phish Tool ပါ .. ဒါပေမယ့် Phish Tool က Account ဖွင့်ရတာမို့လို့ အလုပ်ရှုပ်ရင် အောက်က Tools တွေ အသုံးပြုလို့ရပါတယ်
ကျွန်တော်ကတော့ Number 3 Option ဖြစ်တဲ့ Message Header Analyzer ကိုအသုံးပြုပြပေးသွားပါမယ်
အပေါ်ကပုံမှာပြထားသလို Email Header ကို Text Box ထဲထည့်လိုက်ပြီး Analyze Headers ကိုနှိပ်လိုက်ပါ
ပထမပုံမှာ Analyse လုပ်လို့ရလာတဲ့ Result ကို Summary ပြပေးထားတာတွေ့နိုင်ပါတယ် .. အဲ့ဒီမှာမြင်ရတဲ့ From, Reply-to, To ဟာ Picture 1 မှာမြင်ရတာနဲ့ အနည်းငယ်ကွဲပြားနေတာကိုတွေ့ရမှာပါ .. တစ်ခါတလေ Domain Spoof လုပ်ပြီးပို့တဲ့အခါမျိုးမှာဆိုရင်လည်း ကိုယ့်အမြင်မှာတော့ Domain အစစ်ကိုမြင်တွေ့နေရမှာဖြစ်ပေမယ့် တကယ်တမ်း Email Header ကိုစစ်ကြည့်လိုက်မှသာ Sender အစစ်ကိုမြင်တွေ့ရနိုင်ပါတယ် .. နောက်ပြီးဝိုင်းပြထားတဲ့ IP “40.107.237.76” ဟာ Email Server ဖြစ်ပြီး Outlook ရဲ့ Server မို့လို့ Malicious ဖြစ်တယ်ပြောမရဘူး .. ဒီနေရာမှာ တစ်ခြား Phishing Mail တွေဆို Malicious IP ဖြစ်နိုင်တာမို့လို့ www[.]abuseipdb[.]com လို Website မျိုးမှာ IP Reputation ကိုသွားစစ်နိုင်ပါတယ်
ဒါဆိုရင်တော့ရှင်းသွားပါပြီ .. Sender ရဲ့ Email ဟာ uafyt9rq9mlmbbvla2kq@xvbkdegwxjdilp[.]buzz ဖြစ်ပြီး ဒါဟာ PayPal ကမဟုတ်ပါဘူး .. ဒီ Email ကို Reply ပြန်ရင်လည်း Sender ဆီမရောက်ပဲ [email protected][.]com ဆီရောက်သွားမှာဖြစ်ပါတယ်
ဒုတိယပုံမှာပြထားတာက SPF Pass သွားတာဖြစ်ပါတယ် .. Phishing Mail, Spam Mail အများစုဟာ SPF Fail တာကြောင့် Inbox ထဲမရောက်ပဲ Spam/Junk Folder ထဲရောက်ရောက်သွားတတ်ပေမယ့် ဒီ Phishing Mail ဟာတော့ Inbox ထဲကိုစိုက်စိုက်မြိုက်မြိုက်ရောက်ရှိလာတာဖြစ်ပါတယ်
နောက်ဆုံးအနေနဲ့ပြချင်တာကတော့ Phish Tool မှာစစ်ထားတဲ့ Result ပါ .. Phish Tool ကို Account Create ပြီးသုံးတာအကောင်းဆုံးပါပဲ .. အပေါ်ကပုံမှာပြထားသလိုပဲ Information တွေကို ရှင်းရှင်းလင်းလင်းမြင်တွေ့ရမှာဖြစ်လို့ end user friendly လည်းဖြစ်ပါတယ်
အောက်မှာကတော့ Phishing Email Analysis လုပ်တဲ့နေရာမှာ သုံးလို့ရမယ့် Tools တွေကို သေချာပြန်စုပေးထားတာတွေပါ
Header Analysis Tools
– Message Header – https://toolbox.googleapps.com/apps/messageheader/analyzeheader
– Message Header Analyzer – https://mha.azurewebsites.net/
– Mail Header – https://mailheader.org/
– Phish Tool – https://www.phishtool.com/
Reputation Checkers
– IP info – https://ipinfo.io/ (IP ရဲ့ Information အစုံအလင်ကြည့်နိုင်)
– URL Scan – https://urlscan.io/ (Phishing Email ထဲပါတဲ့ URL တွေကိုတကယ်နှိပ်စရာမလိုပဲ ဘယ် Website ကိုရောက်မလဲဆိုတာ စစ်ကြည့်နိုင်)
– VirusTotal – https://www.virustotal.com/gui/ (Phishing Email ထဲပါတဲ့ IP, URL တွေရဲ့ Reputation ကိုသွားစစ်နိုင်)
– Abuse IP DB – https://www.abuseipdb.com/ (Phishing Email ထဲပါတဲ့ IP ရဲ့ Reputation ကိုသွားစစ်ကြည့်နိုင်)
ဒါကတော့ Phishing Email တစ်ခုကို ဘယ်လိုစစ်ဆေးလို့ရမလဲဆိုတာတင်ပြသွားတာပဲဖြစ်ပါတယ် .. အားလုံးပဲ Cyber Awareness ကောင်းကောင်းတည်ဆောက်နိုင်ပါစေလို့ဆုတောင်းပေးရင်း နိဂုံးချုပ်လိုက်ပါတော့မယ်
Featured Image: GeeksForGeeks
