+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-9.html)
+--- Thread: Pošta i kurirske službe - SMS i E-mail prevare (/thread-956.html)
Pošta i kurirske službe - SMS i E-mail prevare - milos_rs - 11-10-2023
Sa twittera https://twitter.com/ITkutak/status/1722917405230235811
Quote:Naslućujem da cure negde podaci iz Pošta Srbije, preciznije Post Express dela. Juče mi je poslata pošiljka, danas mi stiže phishing sms vezan za detalje isporuke (i naravno traže se podaci o platnoj kartici).
Danas su mi na isti broj stigle dve poruke sa istom tematikom (pogrešna adresa za dostavu, dopunite podatke). Do danas nisam dobio ni jednu takvu...
Web app im je dosta lepo napravljen, ima malih gluposti oko prevoda, ali brending na mestu, polise koje ne dozvoljavaju snimanje i screenshotove, pristup samo za mobile uređaje, na desktopu su to parkirani domeni za prodaju... Neko se potrudio
dobijene poruke:
linkr .it/2ZLkTo redirektuje na posto-rs .com/login
posto-rs .com has address 172.67.198.164
posto-rs .com has address 104.21.92.208
linkr .it/18vgDL redirektuje na rsposta .top/r8Q
rsposta .top has address 74.48.108.228
I zanimljiv detalj da radi samo na mobilnom, prethodno sam naišao na jedan sličan ali otvarao sa desktopa pa mi je domen izlazio kao parkiran: https://bezbedanbalkan.net/thread-912.html
Promenom UA u browseru na desktopu dobijamo sajt:
Klik na dalje dobijamo unos podataka:
Pa posle toga unos kartice:
posle čega pokaže:
i brzinom munje redirektuje na https://www.posta.rs/cir/o-nama/posta-danas.aspx
oba sajta su praktično ista i isto se ponašaju
sva komunikacija i krađa podataka ide preko websocket na:
wss://rsposta .top/socket.io/?EIO=4&transport=websocket&sid=X
wss://posto-rs .com/socket.io/?EIO=4&transport=websocket&sid=Y
Što se tiče parkirane strane, ima na njoj mejl za navodnu kupovinu domena, markus @ gmail .com, parking stranica je svakako lažna i servira se sa samog hostinga ovog domena, normalne parking stranice serviraju sa centralne lokacije kod domenskih registara ili firme za parking, a ne ovako.
Ovaj domen sam našao, registrovan juče, može biti sledeći korišćen: postars .cc
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - 1van - 11-10-2023
Imamo još jednu temu gde smo sumnjali da podaci negde cure: Pošta smishing.
I sproveli smo i anketu: https://twitter.com/ivanmarkovicsec/status/1593689635976351744.
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - VincaSec - 11-10-2023
Dodacu i ovo:
https://www.abuseipdb.com/check/91.195.240.123
https://www.virustotal.com/gui/ip-address/74.48.108.228/relations
https://www.virustotal.com/gui/domain/postars.cc/relations
https://www.virustotal.com/gui/ip-address/91.195.240.123
https://www.virustotal.com/gui/domain/rsposta.top/relations
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - milos_rs - 11-18-2023
verovatno od istog aktera...
link je postaer-rspt .top/gQLimA/ na desktopu otvara lažnu parking stranicu, sa mobilnim UA otvara:
dalje se dobije popunjavanje podataka:
onda traži karticu:
i traži SMS kod što znači da verovatno odmah pokušava nešto da naplati možda, ne znam:
slanje podataka ide preko POST na postaer-rspt .top/api/U2FsdGVkX1 i onda još gomila karaktera koji se menjaju sa svakim zahtevom, takođe se informacije šalju enkodovane istim nekim enkoderom kao i taj deo posle /api/, nisu čist tekst.
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - milos_rs - 11-18-2023
parking strana...
i ovde je mejl markus @ gmail.com
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - milos_rs - 11-18-2023
još jedan icloud mejl sa kog stiže, izgleda da je ova kampanja danas jaka
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - 1van - 11-20-2023
Evo ga još jedan, izvor: https://twitter.com/bbibliotekar/status/1726584277918457940
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - milos_rs - 12-05-2023
Novi novcijat
151464153.postars .lat/87dZtk/
ali kopirajte link lol, pa pola ljudi to ni ne zna da uradi
Code:
Domain Name: POSTARS.LAT
Registry Domain ID: D415438548-CNIC
Updated Date: 2023-12-05T05:31:13.0Z
Creation Date: 2023-12-05T05:31:09.0Z
Registry Expiry Date: 2024-12-05T23:59:59.0Z
Registrar: NamecheapOtvara istu "domain is for sale" stranicu sa istim onim mejlom kao i ostali. Sajt iza cloudflare-a
Ne uspevam ni sa promenom UA da otvorim na desktopu, samo na mobu, nemam sad vremena da se igram, treba dignem neki Android emulator za ovakve stvari.
uspeo sam jedino grešku neku da izvučem {"code":500,"msg":"internal error:ENOENT: no such file or directory, stat '/code/landingPage/landingpage/index.html'"}
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - milos_rs - 12-05-2023
Još jedan mejl, izgleda da kampanja trenutno ide punom parom
RE: Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke - 1van - 12-05-2023
151464153[.]postars[.]lat, CloudFlare + Namecheap, Created on 2023-12-05