Email Phising Analysis

Image by stephen momot

Bismillahirahmanirahim,

Kali ini saya ingin sharing sebuah writeup sederhana tentang Phising Analysis dari Blue Team Labs Online. Pada Challanges ini disediakan satu file .eml dan terdapat 10 soal yang disajikan.

Saya ingin membahas sedikit apa itu file .eml

EML adalah format berkas yang dikembangkan oleh Microsoft untuk Outlook dan Outlook Express. Berkas EML adalah surel (email) yang diarsipkan yang mempertahankan format dan tajuk (header) HTML aslinya. [source](https://id.wikihow.com/Membuka-Berkas-EML)

Untuk membaca file .eml ada beberapa cara, salah satunya yaitu menggunakan aplikasi email client seperti Mozilla ThunderBird. Tapi pada kali ini saya hanya menggunakan VSCode untuk menganalisanya secara manual.

Okeh langsung saja kita bahas.

Email Phising Sender

Informasi yang pertama kita cari ialah alamat email dari orang yang mengirimkan phising ini.

Untuk mengetahui informasi tersebut, kita bisa melihat pada bagian *From* pada line 34

From: Amazn amazon@zyevantoby.cn

Email Phising Target

Informasi kedua yang harus kita cari yaitu alamat email yang menjadi target phising tersebut, Untuk mengetahui informasi tersebut, kita bisa melihat pada bagian To pada line 35.

To: saintington73 saintington73@outlook.com

Phising Subject

Informasi selanjutnya yaitu informasi ketiga, kita diminta mencari subject dari email phising tersebut.

Untuk mengetahui informasi tersebut, kita bisa melihat pada bagian Subject pada line 36.

Subject: Your Account has been locked

Company name used to do Phishing

Pada soal keempat, kita diminta mencari nama perusahaan yang digunakan untuk phising.

Hal yang saya lakukan yaitu men-decode attachment yang ada pada line 133–146. Encode yang digunakan yaitu base64.

Saya hanya perlu mencopy text tersebut dan men-decodenya di terminal menggunakan perintah

dan hasilnya

Email Delivery Time

Selanjutnya kita diminta untuk mencari kapan email itu dikirimkan.

Untuk mengetahui informasi tersebut, kita bisa melihat pada bagian *Subject* pada line 37.

Date: Wed, 14 Jul 2021 01:40:32 +0900

Malicious URL in attachment

Sekarang kita diminta mencari URL berbahaya yang ada pada email tersebut.

Hal yang saya lakukan yaitu men-decode attachment yang ada pada line 153. Encode yang digunakan yaitu base64.

Karena textnya terlalu panjang, saya menyimpanya kedalam text file baru kita melakukan decode.

cat attachment.txt | base64 -d > hasil.txt

dan hasil yang kita dapatkan

https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2Famaozn.zzyuchengzhika.cn%2F%3Fmailtoken%3Dsaintington73%40outlook.com&data=04%7C01%7C%7C70072381ba6e49d1d12d08d94632811e%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637618004988892053%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=oPvTW08ASiViZTLfMECsvwDvguT6ODYKPQZNK3203m0%3D&reserved=0" originalSrc=”https://amaozn.zzyuchengzhika.cn/?mailtoken=saintington73@outlook.com

Heading URL

Okeh lanjut ketahap selanjutnya, kita diminta untuk mencari *Heading* dari url sebelumnya.

Sesuai dari saran soal tersebut, saya mengeceknya menggunakan [URL2PNG](https://www.url2png.com/) untuk mendapatkan screenshot dari webiste tersebut.

This web page could not be loaded.

Encode yang digunakan

Untuk mencari encode yang digunakan pada email tersebut, kita bisa menemukanya pada line 131 dan 151.

Company Logo

Selanjutnya kita diminta untuk mencari URL logo dari company tersebut.

Kita bisa menemukanya pada attachment yang sudah kita decode sebelumnya.

https://images.squarespace-cdn.com/content/52e2b6d3e4b06446e8bf13ed/1500584238342-OX2L298XVSKF8AO6I3SV/amazon-logo?format=750w&content-type=image%2Fpng

Facebok Name Account

Dan pada tahap terakhir kita diminta untuk menemukan nama aku facebook yang ada pada attachment email tersebut.

Pada attachment tersebut, terdapat sebuah *anchor tag* yang mengarah ke url :

https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.facebook.com%2Famir.boyka.7

kemudian jika dilihat disana terdapat url yang mengarah ke sebuah profile accout.

https://www.facebook.com/amir.boyka.7

Setelah dibuka saya menemukan profile Facebook, kemudian saya mengcopy nama dari aku facebook ke colom submit flag.

Dan challange pun selesai 👏. Mungkin hanya sedikit ilmu yang bisa saya sharing. Apabila ada salah kata atau penjelasan mohon dimaafkan.

Terimakasih ^^

About me

I’m Muhammad Abdur Rofi Maulidin, a DevOps Engineer passionate about optimizing software development processes by supporting cloud infrastructure management like kubernetes orchestration, and automations. Dedicated to support the reliability, availability, and performance of systems by implementing SLI/SLO based on performance monitoring for business requirement.

Feel free to keep in touch with me:

• LinkedIn: https://www.linkedin.com/in/mrofisr/
• Twitter: https://twitter.com/mrofisr_
• Telegram: https://t.me/@mrofisr

Let’s go to the cloud 🚀

Free Palestine 🇵🇸