Chciałbym pokazać jak wygląda od początku do końca strona wyłudzająca dane do logowania (strona phishingowa) wraz z wiadomością e-mail, statystykami itp. Zapraszam do lektury :)
I have a file to share with you via Dropbox please kindly click here [smarturl.it] to view.
Thank You
E-mail wysłany jest z wykradzionego lub wykupionego konta e-mail. Posiada poprawne nagłówki SPF/DKIM/DMARC, treść zawiera kod HTML. Nie jest wykrywana jako SPAM. Zawiera odnośnik do adresu: hxxps://smarturl.it/nxxey4 (jeśli chcecie świadomie odwiedzić witrynę to skopiujcie adres i zamieńcie hxxps na https).
smarturl to serwis, który przekieruje Waszą przeglądarkę na adres docelowy, którym jest kolejny serwis z przekierowaniem (hxxps://hec.su/kuQ7) do fałszywej strony. Dzięki temu, że to przekierowanie zawiera publicznie dostępne statystyki, możecie obejrzeć ile osób kliknęło w taki odnośnik :)
Czasami spamerzy wykorzystują serwisy skracające odnośniki – zapominając, że część z takich serwisów udostępnia szczegółowe statystyki połączeń :) Kliknij w obrazki by zobaczyć szczegóły.
Poniżej przykładowa kampania mailowa:
Subject: I burn with passion …
squeeze my nipples
>>> hxxp://bit.do/a34f
Dwa podobne e-maile, o krótkiej, nazwijmy to „erotycznej” treści. Jak myślicie czy ktoś w takie maile klika?
Subject: Hi, it’s only for you
group s#x
>> hxxp://bit.do/a34f
Zanim serwis skracający odnośniki i zarządca hostingu/domeny wyłączył serwis, przez dwanaście godzin z przekierowania skorzystało ponad 66 tysięcy osób (oczywiście w przybliżeniu bo boty, researcherzy itd.) czyli średnio 1.5 osoby co sekundę :) Czytaj dalej »
Znajomy zapytał mnie czy bezpiecznie będzie skorzystać z super promocji w sklepie internetowym z załączonego obrazka. Na co zwracać uwagę i co powinno zapalać czerwoną lampkę:
Brak szyfrowanego połączenia – dziś w sklepie internetowym to standard.
Odnośniki FB/Instagram/Twitter wiodą do firmy Kenzo: http://www.facebook.com/kenzoparis, http://twitter.com/kenzo, http://instagram.com/kenzo
Wizualna strona sklepu nie zachwyca.
Nigdzie nie ma nazwy/adresu firmy, która sprzedaje towar.
Domena sklepu została zarejestrowana kilka tygodni temu: Creation Date: 2018-02-28
Dane rejestratora domeny są po chińsku: Registrant Name: xu jian xin, Registrant Organization: xu jian xin, Registrant Street: Sha Di Da Shen Fa Fang asfad, Registrant City: you jian wang qu y, a rejestrator ma kontakt na darmowym koncie Gmail.
Adres IP serwera znajduje się w Stanach Zjednoczonych i należy do firmy Tureckiej: person: Istanbul DC, Istanbul Datacenter Ltd. Sti., Kemeralti Mh. 124 Sk. No.7
Wpisanie nie istniejącego adresu katalogu powoduje wyświetlanie komunikatów po chińsku.
Istnieje wiele bardzo podobnie zbudowanych sklepów internetowych z tymi samymi danymi rejestratora, na innych domenach (patrz obrazki).
Ceny produktów są skrajnie niskie, w porównaniu do cen oryginalnych produktów.
Od jednego z naszych czytelników otrzymaliśmy ciekawą informację (dzięki!). Najstarszy i najbardziej znany sklep z medykamentami wszelkiej maści Canadian Pharmacy uruchomił na wielką skalę kampanię, która przełamuje zabezpieczenia stron internetowych i dodaje na tych stronach przekierowania do swojego sklepu internetowego. Wpisując w wyszukiwarkę Google frazę np: „Canadian Pharmacy” site:.pl – otrzymamy: Około 171 000 wyników. To pokazuje olbrzymią skalę problemu.
Bardzo szybka weryfikacja wskazuje, że wykorzystywane są błędy w wielu silnikach CMS takich jak WordPress, Moodle, Joomla. Być może wektorem ataku były także słabe hasła do paneli zarządzających. Warto pamiętać o regularnej aktualizacji systemów CMS oraz wykorzystywanych wtyczek.
Debata na temat „najlepszego” antywirusa może jak zawsze trwać bez końca i jest zawsze bardzo gorąca. Ja zazwyczaj podkreślam, że najważniejsze by na popularne złośliwe oprogramowanie, jako niezbędne minimum – mieć zainstalowane i aktualizowane oprogramowanie antywirusowe. Jako ciekawostkę zamieszczam krótkie badanie, które przeprowadziłem. O tym, że przygotowanie złośliwego oprogramowania, które nie jest wykrywane przez żadne antywirusy, trwa kilka minut, pisał nie będę bo przecież wszyscy o tym wiemy. Czytaj dalej »
Nie pierwszy i nie ostatni raz w sieci pojawiło się złośliwe oprogramowanie, które jest wielo-platformowe. Uruchamia się na systemach z rodziny Windows, Mac i Linux, jeśli w systemie zainstalowana jest Java. Co zabawne, ten trojan do automatycznej instalacji bez wiedzy użytkownika wykorzystuje podatność właśnie w silniku Java (podatność CVE-2013-2465). Po zainfekowaniu maszyny, w zależności od systemu operacyjnego dokonywane są odpowiednie wpisy umożliwiające uruchomienie się trojana po restarcie komputera. Czytaj dalej »
Poniżej lista kilku perełek, które system antyspamowy bloga wychwycił na dniach. Co ciekawe wszystkie linkują do serwisu Facebook do istniejących lub nie profilów użytkowników. Dość ciekawa próba uwiarygodnienia jakości komentarza. Niestety w parze za pomysłowością nie idzie jakość tłumaczenia ale momentami jest całkiem nieźle. Zresztą zobaczcie sami. Adresy IP są różnorodne np.: Czytaj dalej »
Niesamowite jest jak czasem bardzo skomplikowany proceder spamowania i próby wyciągnięcia pieniędzy od użytkowników można spotkać w sieci. Otrzymałem od znajomego wiadomość, którą otrzymał na konto w serwisie gmail (co ciekawe znajomy ów jest fanem marki Apple):
W zasadzie nic w tym dziwnego, że Facebook jest po raz wtóry wykorzystywany jako narzędzie cyberprzestępców. Znajoma otrzymała wiadomość prywatną na FB jak na obrazku. Po kliknięciu w obrazek JPG, program antywirusowy Avast (wersja darmowa) wykrył, że link jest podejrzany. Podesłała mi odnośnik do www. ablecan. co. uk/users/g14.php?ide6g5q5u-Photo87.JPG, który co ciekawe jest skonfigurowany tak, iż zapisuje się jako Photo34.JPG_www.facebook.com (w zależności od przeglądarki). Jest to oczywiście zwykły plik wykonywalny .exe, który jest wirusem. Czytaj dalej »
Oczywiście profesjonaliści wiedzą, iż nie istnieje najlepszy produkt. W zależności od potrzeb, możliwości finansowych i nie tylko, skuteczności, wydajności itd. najlepszość będzie inna, a serwowanie ogólnego zdania, że coś jest najlepsze jest wyłącznie sprytnym zabiegiem marketingowym ;] Organizacja Virus Bulletin wydała kolejny raport, w którym testują aplikacje rozpoznające SPAM. Przez 16 dni do 20 systemów antyspamowych wysłano 140 800 wiadomości e-mail, z czego 137 889 wiadomości to SPAM. Wiadomości były wysyłane bez ograniczeń językowych aby oddać rzeczywiste warunki wykrywania SPAMu. Czytaj dalej »
Specjalistom z firmy The Last Line Of Defense udało się dostać do danych przejętych przez maszyny będące częścią botnetu Waledac. Z danych tych wynika dość zatrważający choć dla naszych czytelników oczywisty wniosek, iż siła tak rozwiniętego botnetu jest przeogromna. Zgromadzone przez zarządzających przejętymi komputerami informacje wskazują na 123 920 loginów i haseł do kont FTP, zazwyczaj wykorzystywanych do osadzania stron internetowych. Zwyczajowo robak dodaje używając skradzionych kont kody do stron WWW, które atakują nieświadomego odwiedzającego witryny.
Najprawdopodobniej w wyniku przejęcia jednej z firm wykorzystujących kampanie reklamowe w komunikatorze ICQ doszło do interesującej sytuacji. Szereg użytkowników zostało powiadomionych o infekcji ich systemu i instrukcji, która umożliwiała pobranie fałszywej aplikacji antywirusowej, będącej oczywiście trojanem. Sytuacja jest o tyle nieprzyjemna, że nawet w sytuacji gdy użytkownik nie miał uruchomionej przeglądarki internetowej, mógł otrzymać dość wiarygodną graficzną informację nakłaniająca do instalacji programu antywirusowego. Jak widać sposobów ataku jest wiele i zawsze należy mieć się na baczności i nie instalować oprogramowania z niezaufanego źródła!
Głównie za sprawą zaangażowania autora serwisu Zeus Tracker czyli miejsca, które agreguje informacje dotyczące serwerów zarządzających trojanami bankowymi ZeuS (które wykradają, loginy i hasła m.in. do banków i dane te przesyłają właśnie do swoich serwerów), miało miejsce bardzo pozytywne odłączenie. Mianowicie na przestrzeni kilku tygodni 14stu ISP zostało odłączonych od globalnej sieci. Oczywiście nie bezpodstawnie, gdyż usługodawcy Ci udostępniali swoje zasoby głównie (czasami wyłącznie) cyberprzestępcom, przy jednoczesnym zupełnym ignorowaniu zgłoszeń dotyczących naruszeń w sieci. Czytaj dalej »
Znalazłem w pieleszach swoich starych katalogów badawczych, dane z jednego z odkrytych serwerów trojana Zeus z kwietnia 2009 roku. Przez kilka godzin miałem możliwość obserwowania liczby podłączonych do serwera, zarażanych maszyn. Wycinek jest bardzo skromny (kilka godzin) ale pokazuje siłę takich infekcji.
Ponad rok temu dokonałem bardzo prostego wpisu, w którym gdzieś pod koniec spłodziłem zdanie: Aplikacja do usuwania komunikatu o nielegalnym systemie Windows XP. Pobierz TUTAJ. Oczywiście nie siląc się na zaangażowanie pod odnośnikiem TUTAJ umieściłem plik .bat, który zawierał pseudo złośliwe treści i był swoistym eksperymentem:
Od kilku miesięcy co jakiś czas otrzymuję bardzo specyficzny rodzaj spamu. Specyficzny nie tylko dlatego, że formatowany jest zawsze w podobny sposób z użyciem kodu HTML (mimo różnorodnych wyrazów nie związanych z tematyką) ale głównie specyficzny ze względu na sposób wysyłania wiadomości. Na samym początku prócz podobieństwa w wyglądzie, ewidentnie wskazującym na tę samą szajkę zaciekawiła mnie bardzo wysoka skuteczność samego spamu. Okazało się, że każdorazowo w momencie otrzymania wiadomości adresy IP, z których wysyłany był SPAM były oznaczone jako czyste. Nie znajdowały się na żadnych czarnych listach. Każdorazowo wysyłane były z innych adresów IP lecz jak się okazało bo bardzo szybkiej analizie kilku przypadków prawie wszystkie znajdowały się w sieci dostawcy usług hostingowych firmy OVH. Poniżej kilka przykładów: Czytaj dalej »
Mimo, iż temat opisywałem w grudniu zeszłego roku, okazuje się, że temat jest wciąż aktualny. Widzę po świeżych komentarzach (dzięki!) w tym temacie, że filmy takie jak koszmar z ulicy wiązów 2010 czy Resident Evil Afterlife (na TNT) zawierają tę samą metodę infekcji. Teoria, że ktoś robi interesujące badanie raczej się nie sprawdzi, chyba że faktycznie chce mieć dużą próbkę i raczej wydaje mi się, że jest to dość skuteczna metoda infekowania użytkowników. Dla leniwych lub nie dość pamiętliwych zacytuję część ostatniego wpisu:
Przybyło do mnie kilka maili o bardzo krótkich i treściwych tematach i zawartościach typu: Windows 7 Ultimate 64 bit = -$149.95, A lot of software for Windows and MAC OS in different languages! Microsoft Office 2004 for MAC, License software! Purchase program Microsoft after a half price, The Best Software! Free Software Downloads and Reviews. Wszystkie zawierają prostą stronę internetową, która zawiera odnośnik do stron, które natomiast kierują użytkownika z użyciem metody META HTTP-EQUIV=refresh do hxxp://digital-oembuy_ru. Różne witryny wykorzystane do przekierowań zostały raczej dodane w nielegalny sposób poprzez kradzież loginów i haseł od legalnych właścicieli tudzież wykorzystanie błędów w oprogramowaniu WWW. Trafił się też polski akcent gdyż jedna ze stron to http://gigantos.udp_pl/u.html. Zgłosiłem problem firmie obsługującej hosting i w krótkim czasie skontaktowali sie z klientem i usunęli problematyczną treść.
Nagłówek klienta pocztowego jest różny. Wiadomości wysyłane są z różnymi polami Od z adresów serwerów yahoo czy hotmail ale nie tylko. Wskazuje to na wykorzystanie albo ukradzionych kont albo specjalnie do tego celu kont założonych na tych serwisach. Czytaj dalej »
Dziś nawiedziła mnie wiadomość mailowa dotycząca pilnego wypełnienia formularza online usługi American Express. Konkretny temat: American Express Online Form i równie konkretna treść:
Dear American Express customer,http://egilobezo.greatnow.com/etuqoco.html
A newly revised American Express Online Form has been issued by the American Express Customer Care Team. Please complete this
form as soon as possible You can access the form at:
American Express Online Form.
Thank you for choosing American Express.
Sincerely,
American Express
Jedyny problem był taki, że link odnosił się do: http://urlie/6byw co wskazuje na próbę wykorzystania, któregoś z serwisów skracających linki ale chyba w nieudany sposób. Na szczęście bardzo sprawny dział American Express Customer Care Team zorientował się bardzo szybko i po chwili otrzymałem drugą wiadomość już z poprawnym odnośnikiem: Czytaj dalej »
Jestem fanem Opery. Odkąd pamiętam. Zgłosiłem kilkadziesiąt błędów, wielokrotnie testowałem wersje z wczesnych faz produktu, korzystałem z Opery na Wii i na prawdę uwielbiam ich rozwiązania. Dla mnie osobiście, jest to najlepsza przeglądarka. Na moim dysku z workstacji leży jeszcze: opera-6.10-20021029.2-shared-qt.i386.tar.gz. Teoretycznie więc nie jestem szalonym fanem FF (także zacnej przecież przeglądarki), a po prostu od wielu lat mniej więcej wiem co w Operze piszczy. I takie niedoróbki (których Opera ma niestety coraz więcej) jak ta, mnie osobiście dobijają. Korzystam z wersji 10.10 czyli ostatniej stabilnej pod Linuksa i oczywiście miałem przyjemność testować najnowszą wersję 10.5 z trybem prywatnym. I mam szczerą nadzieję, że tryb ten będzie zaimplementowany lepiej niźli te podstawowe funkcjonalności, które obecne są w wersji 10.10 i dotykają coraz to poważniejszego problemu prywatności. Ale przejdźmy do tego co ostatnio odkryłem (jak zawsze oczywiście ktoś na pewno to odkrył wcześniej i jest to dla Niego truizmem ;) i mnie zaskoczyło – niestety negatywnie. Czytaj dalej »