Chciałbym pokazać jak wygląda od początku do końca strona wyłudzająca dane do logowania (strona phishingowa) wraz z wiadomością e-mail, statystykami itp. Zapraszam do lektury :)
Wiadomość e-mail:
Date: Thu, 25 Jul 2019 13:59:13 +0100 (GMT+01:00)
From: Stinson jastinson@earthlink.net
Subject: DropboxI have a file to share with you via Dropbox please kindly click here [smarturl.it] to view.
Thank You
E-mail wysłany jest z wykradzionego lub wykupionego konta e-mail. Posiada poprawne nagłówki SPF/DKIM/DMARC, treść zawiera kod HTML. Nie jest wykrywana jako SPAM. Zawiera odnośnik do adresu: hxxps://smarturl.it/nxxey4 (jeśli chcecie świadomie odwiedzić witrynę to skopiujcie adres i zamieńcie hxxps na https).
smarturl to serwis, który przekieruje Waszą przeglądarkę na adres docelowy, którym jest kolejny serwis z przekierowaniem (hxxps://hec.su/kuQ7) do fałszywej strony. Dzięki temu, że to przekierowanie zawiera publicznie dostępne statystyki, możecie obejrzeć ile osób kliknęło w taki odnośnik :)
A sama strona phishingowa wygląda tak:
Jest to więc strona multiphishingowa, która wykorzystuje kilku dostawców usług poczty elektronicznej. Po kliknięciu w odpowiedni odnośnik zobaczycie fałszywe strony internetowe paneli do logowania.
Po podaniu danych do logowania zostajemy przekierowani do dokumenty, z jakiejś strony internetowej. A podany login i hasło są wysyłane na adres e-mail do atakującego.
W tym wypadku atakujący nie zadbał o konfigurację fałszywej strony WWW i możliwe jest pobranie całego kodu źródłowego strony, wraz z adresem e-mail, na który wysyła loginy i hasła.
$to =”petermarkk888@gmail.com”;
Oczywiście sama znajomość e-maila nie wiele daje bo cyberprzestępca korzysta zapewne z narzędzi anonimizujących podczas pobierania poczty.
Po zgłoszeniu fałszywej strony do dostawcy hostingu, w ciągu 24 godzin strona jest usunięta by odrodzić się po chwili na kolejnym koncie.
5 komentarzy do
19 sierpnia, 2019 o godzinie 08:01
Dzięki za ładne rozpisanie. W kontekście ilości wejść przydała by się jeszcze informacja do ilu użytkowników był wysłany phishing. Nie było gdzieś wskazówek co do tego wśród plików na serwerze?
19 sierpnia, 2019 o godzinie 11:19
Z mojej perspektywy oceniając wyniki kampanii i e-mail cyberprzestępcy w domenie gmail.com – nie jest to nic olbrzymiego.
13 marca, 2020 o godzinie 11:27
Coraz częściej ataki są przeprowadzane z kont, które są naprawdę bardzo dobrze skonfigurowane i ciężko jest wyciąć takie wiadomości na poziomie filtrów antyspamowanych. Trzeba nieustannie szkolić pracowników z odróźniania phishingu od prawdziwych wiadomości.
5 lipca, 2022 o godzinie 19:17
Bardzo ciekawie opisany problem. Phishing to jeden z większych problemów współczesnego świata.
7 listopada, 2022 o godzinie 14:15
Straszne jest to jak łatwo można to zrobić…