+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html)
+--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-16.html)
+--- Thread: Raiffeisen upozorava na zlonamernu fišing kampanju (/thread-1642.html)
Raiffeisen upozorava na zlonamernu fišing kampanju - milos_rs - 09-26-2024
Upozorenje sa fejsbuk stranice Raiffeisen banke:
uz primer fišing mejla:
Na sajtu sam primetio da imaju svežu kolekciju primera fišing mejlova što je dosta dobar način za edukaciju korisnika:
https://www.raiffeisenbank.rs/sr/news/2024/bezbednost/primer-fising-kampanja.html
RE: Raiffeisen upozorava na zlonamernu fišing kampanju - milos_rs - 09-26-2024
Pošto sam našao jedan melj mogu malo više da analiziram,
Na mejl adresu gde sam našao, stiglo je pet identičnih mejlova u periodu od Sep 25, 2024 6:13PM do Sep 26, 2024 2:27PM
koristila se platforma leadpages .com koja koristi mailgun .com za slanje, mejl je došao sa mejl servera na m225-17.mailgun.net (159.135.225.17).
Zanimljivo je da u primerku mejla do koga sam došao, posle teksta za Raiffeisen koji je vidljiv na skrinšotu u gornjem komentaru, ima dodatni deo koji je navodno od DocLoop-a ?! :
Zašto je ovo tu ne znam, da li su spameri napravili copy+paste nekog mejla i ostalo je slučajno? Da li su možda dodali da bi pokušali da time zaobiđu mejl filtere na destinaciji? Da li je i to deo nekog phishinga? Da li se DocLoop-ova moj e-racun usluga koristi za neke zloupotrebe? Puno pitanja nula odgovora
Phishing link vodi ka rs.haiduongcamera .com, domen haiduongcamera .com postoji veoma dugo i deluja kao neka legitimna vijetnamska radnja. Moguće je da su im hakovali hosting provajdera i uneli sebi DNS zapis za rs. poddomen za ovaj phishing. U ovom trenutku je phishing stranica još uvek aktivna.
Pa da vidimo kako izgleda:
kada unesem "podatke":
kada "aktiviram":
kada "potvrdim":
onda vrti nešto jako dugo jer jebiga očigledno kartica nije validna i vrati se sa time da kartica nije validna i da pokušam ponovo.
U pozadini napravi falj rs.haiduongcamera .com/homa/xxx.xxx.xxx.xxx.txt gde je xxx moja IP adresa i ubacuje sve podatke koje sam uneo u njega, verovatno to radi za sve i tako ima podatke po IP adresama.
Direktorijum /homa/ nije čitljiv i ne prepoznajem šta je ovaj backend :
RE: Raiffeisen upozorava na zlonamernu fišing kampanju - milos_rs - 10-24-2024
Još jedna fišing kampanja u toku..
link je rapro .uk/files i još neki parametri ali otvara bez
redirektuje na 202212080723k884x7w7.conohawing .com/rs/
Code:
rapro.uk has address 109.228.34.145
202212080723k884x7w7.conohawing.com has address 160.251.148.56Deluje da je rapro.uk verovatno kompromitovan, a conohawing.com je izgleda japanski web host tako da je samo iskorišćen
fišing sajt izgleda ovako:
RE: Raiffeisen upozorava na zlonamernu fišing kampanju - milos_rs - 10-26-2024
Raiff opet ciljan sa više fejsbuk oglasa:
Sa desktopa otvara lažni sajt lažne firme da zavara trag:
Sa mobilnog otvara neku glupu anketu:
kada se odradi anketa nudi lažni Raiffeisen sajt da bi ukrao kredencijale:
Code:
raifserbia.in.net has address 38.153.122.36RE: Raiffeisen upozorava na zlonamernu fišing kampanju - milos_rs - 11-12-2024
Raiffeisen opet ciljan:
isti mejl je stigao sa dve verovatno kompromitovane mejl adrese:
Quote:1. Sender address: raıffeı[email protected]
ali sa Return path: [email protected]
2. Sender address: [email protected]
link u mejlu vodi na rs.junglecraft .es
koji redirektuje na rs.deutschzeiten .com i prikazuje lažnu stranicu: