Dziś nawiedziła mnie wiadomość mailowa dotycząca pilnego wypełnienia formularza online usługi American Express. Konkretny temat: American Express Online Form i równie konkretna treść:
Dear American Express customer,http://egilobezo.greatnow.com/etuqoco.html
A newly revised American Express Online Form has been issued by the American Express Customer Care Team. Please complete this
form as soon as possible You can access the form at:American Express Online Form.
Thank you for choosing American Express.
Sincerely,
American Express
Jedyny problem był taki, że link odnosił się do: http://urlie/6byw co wskazuje na próbę wykorzystania, któregoś z serwisów skracających linki ale chyba w nieudany sposób. Na szczęście bardzo sprawny dział American Express Customer Care Team zorientował się bardzo szybko i po chwili otrzymałem drugą wiadomość już z poprawnym odnośnikiem:
hxxp://egilobezo.greatnow.com/etuqoco.html
który to wykorzystuje darmowy hosting do przekierowania mnie do:
hxx://www212.americanexpress.com.dll.kz/mydata/form/apisrv.php?session=3575122223669600123….
gdzie powinienem wypełnić formularz treściami z mojej karty płatniczej :] Formularz sprawdza czy wypełniłem wszystkie pola, uprzednio mnie informując o błędzie w wypadku mojego lenistwa i nie podawania wszystkich danych włącznie z kodami bezpieczeństwa.
Co ciekawe hosting ten jest mocny bo wisi aż na 8 adresach IP przy czym 2 nie odpowiadały:
www212.americanexpress.com.dll_kz has address 78.49.6.187
www212.americanexpress.com.dll_kz has address 85.121.125.38
www212.americanexpress.com.dll_kz has address 117.198.170.67
www212.americanexpress.com.dll_kz has address 41.140.70.3
www212.americanexpress.com.dll_kz has address 187.10.104.75
www212.americanexpress.com.dll_kz has address 84.108.102.96
www212.americanexpress.com.dll_kz has address 200.120.115.195
www212.americanexpress.com.dll_kz has address 189.104.73.33
Odwiedzając samotny adres IP, a nie domenowy jesteśmy kierowani do strony www.microsoft.com
Przyglądając się bliżej adresom IP możemy zauważyć, że są one znane jako te złe:
drone.abuse.ch – The IP address was detected at 2010-05-31 02:49:59 (UTC) as malware related FastFlux bot while it was assigned to the malicious domain dolsgunss_com.
spam.abuse.ch – The IP address was detected at as source of spam.
drone.abuse.ch – The IP address was detected at 2010-04-19 16:01:36 (UTC) as malware related FastFlux bot while it was assigned to the malicious domain demiliawes_com. spam.abuse.ch – The IP address was detected at as source of spam.
drone.abuse.ch – The IP address was detected at 2010-05-31 08:05:05 (UTC) as malware related FastFlux bot while it was assigned to the malicious domain dolsgunss_com.
Dane o domence:
Domain Name…………: dll_kz
Organization Using Domain Name
Name……………….: Oksana Bojko
Organization Name……:
Street Address………: ul.Kolmogorova d.3A kv.109
City……………….: Ekaterinburg
State………………: Sverdlovskaya oblast
Postal Code…………: 620034
Country…………….: RUAdministrative Contact/Agent
NIC Handle………….: DOMAINER
Name……………….: Alexander Kuznetsov
Phone Number………..: +7.9057788628
Fax Number………….: +7.9057788628
Email Address……….: info@gname.netNameserver in listed order
Primary server………: ns1.growthiring.com
Primary ip address…..: 188.138.35.149Secondary server…….: ns1.froxyholl.com
Secondary ip address…: 188.138.35.149Secondary server…….: ns2.growthiring.com
Secondary ip address…: 88.113.177.94Secondary server…….: ns2.froxyholl.com
Secondary ip address…: 74.124.63.18Domain created: 2010-05-12 15:06:08.0
Last modified : 2010-05-13 22:39:17.0
Domain status : ok – Normal state.Registar created: SKILLTEX
Current Registar: SKILLTEX
Jeden komentarz do
9 czerwca, 2010 o godzinie 14:56
Muszę przyznać, że są bardzo na czasie. Mniej więcej w tym samym czasie AmEx naprawdę otworzył stronę pozwalającą na przeglądanie stanu konta karty przez użytkownika…
https://www.centresuite.co.uk/Centre/Public/Logon.aspx?ReturnUrl=%2fCentre%2fDefault.aspx%3fAmericanExpress&AmericanExpress