אזהרה!
הפוסט מכיל קישורים לעמודי פישניג, הכניסה אליהם היא באחריות הבלעדית של המשתמש. אני כולל בפוסט גם קישורים לקבצי phishing ולוג, שימוש בהם באופנים מסויימים עלול להוות עבירה על החוק!
הרעיון מאוחרי הפוסט הזה, הוא לחלוק ידע בניתוח דרכים להתחקות אחר יוצרי עמודי פישינג. ידע לכשעצמו אינו חיובי או שלילי בהיבט האתי, רק הדרך שימוש בו.
קיבלתי היום SMS מהמספר +972-54-6222637
(מחיפוש עולה כי המספר שייך למעבדת מחשבים בחיפה, אך כאשר ניסתי להתקשר למספר, קבלתי הודעת מערכת שהמספר אינו מחובר), עוד לפני שנכנסתי לקישור היה ברור לי שמדובר בפישינג או סקאם כלשהו, אבל אני תמיד נהנה לחקור (או לפחות לנסות, כי לא תמיד מה שיוצג כאן יעבוד) את המתקפה. אז יש לנו לינק ל-bit.ly, שימוש בשירותי לקיצור כתובות מתבצע מכמה סיבות:
- קיצור הקישור חוסך תווים ב-SMS.
- מקל בכתיבה ידנית של הקישור.
- יכול לעזור במקרים מסויימים במעקף של תוכנות הגנה שמסתכלות רק ברמה הראשונה של הקישור (ולא עוקבות אחרי redirect).
שירותים כגון bit.ly תומכים בסופיות +
או .info
שיתנו עוד מידע על הלינק. אני אף פעם לא פותח את הקישורים הללו עם הדפדפן הרגיל שלי, תמיד משתמש ב-VM עם Tor, אי אפשר לדעת מה מחכה לנו ברגע שנכנס לקישורים.
ברגע שנכנס לקישור נראה שמדובר בעמוד פישינג של PayPal, אפשר לזהות זאת בקלות על-ידי התבוננות ב-URL Bar, לא מופיע הכתובת של PayPal. העמוד פישנג לכשעצמו אינו מעניין יותר מדי, אני תמיד מחפש אחר טעויות שהתוקפים עושים, כמו לדוגמה השארת הקוד מקור על השרת. זה מאוד תלוי איך הפרצה התבצע, ובמקרה שלנו הקוד מקור נותר על השרת.
מבחינה של תוכן הקובץ זיפ ניתן ללמוד כי יש קובץ log.txt
שמתעדכן עם רשימת האנשים שניגשו לאתר, אמור להיות גם קובץ בשם brimax.txt
שמכיל יותר מידע, אבל משום מה הוא ריק. הקובץ לוג הכיל בזמן בדיקה כ-140 רשומות (מדובר בקמפיין ממוקד כנגד ישראלים), וכנראה הראשונות הן של התוקף (חשוב לבצע QA), ואם הכתבות אכן שייכת לו, זה אומר שהתוקף שלנו מאלג’יריה.
אפשר גם לראות כי היוצרים הם קבוצה בשם L34K C0de
, לא הצלחתי להבין בדיוק את הרקע שלהם (ערבי, איראני, טורקי?), הם משתמשים בדומיין sh33nz0.com
(שגורם לי לחשוב שהם איראנים) בכדי לקבל עדכונים (באמצעות mail ולא http post או משהו בסגנון), זה למעשה backdoor בקוד, כי התוקף עדכן את הכתובת למשלוח דואר ל-unspeakablegaming1200@gmail.com
, וגם על הכתובת הזו (או היוזר unspeakable gaming
) לא הצלחתי למצוא יותר מדי מידע בזמן הקצר שהשקעתי בלנסות לדקסס.
מידע נוסף:
- Twitter - Peterkruse - Active #phishing against…
- Service.zip (2.4 מ״ב) [סריקה]
- log.txt (11.2 ק״ב)
- HSIL - עמודי דיוג