+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html)
+--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-16.html)
+--- Thread: Phishing - lokalizovano, placanje racuna (/thread-210.html)
Phishing - lokalizovano, placanje racuna - kernel_priest - 11-03-2022
Mailovi dolaze sa debanoirblog[.]com
Na telefonu je jako tesko prepoznati posiljaoca - vecina android mail klijenata prikazuje tek osnovne podatke (bez maila odakle se salje) tako da bi ovaj phishing mogao da bude sa vecim % prolaznosti. Mail je lokalizovan (kao da salje firma iz Srbije)
Obasnjenje strategije napadaca: Sadrzaj ne postoji (PDF/racun) - reply-to sluzi jer prvobitni host debanoirblog jer kompromitovan i iskoristen da posalje na hiljade mailova prema listi koju ima napadac. Svaki email ima uniq ID: email+ numericki kod (u ovom slucaju 56801). Prilikom reply se verifikuje postojanje poslatog maila sa ta dva faktora - sa druge strane se nalazi operateri koji preuzimaju "kllijenta" i klasicna prevara moze da pocne. Cilj je otudjivanje novca, kartice i drugog.
Kasnije se zrtvi salje upustvo kako da posalje novac da bi obustavili transakciju.
Cak i ako ne uzme novac - napadac ima verifikovanu email adresu kojiu moze da koristi za buduce napade.
Dodatne informacije:
debanoirblog[.]com. 300 IN MX 1 debanoirblog[.]com.
debanoirblog[.]com. 300 IN A 92[.]52[.]217[.]177
Na slikama su primjer header maila, mail i zaglavlje na mail klijentu
zaglavlje maila: