Lažni WeTransfer phishing - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html) +--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-16.html) +--- Thread: Lažni WeTransfer phishing (/thread-984.html) |
Lažni WeTransfer phishing - milos_rs - 11-20-2023 Sa dve različite adrese stigao identičan mejl: SMTP mail from address [email protected] SMTP mail from address [email protected] Sender display name WeTransfer Subject: [email protected] Добили сте нове датотеке wetransfer link koji je napisan je samo napisan, link u stvarnosti je ipfs .io/ipfs/bafybeif6efrdksfzqab7qjhamprjqr5kyi3qjhkwzuk7auscpvv6glwnq4/[email protected] otvara lažnu wetransfer stranicu sa IPFS-a, URL u browseru je ipfsov Kad se klikne download traži valjda email šifru baš čudan način da to traže na wetransferu ali sigurno se neko i upeca: email i šifru šalje na healtaa .sbs/loqs/wetr/jeff/one/send.php a taj domen je iza cloudflare-a i registrovan na namecheap-u još 2021. godine i izgleda da se godinama koristi maliciozno Code: Domain Name: HEALTAA.SBS Na domenu destinacije sam malo kopao i našao directory browsing: izlgeda kao više kampanja hostovanih na tom jednom mestu, svaki folder ima subfoldere tipa "one", "two", "six" i tako dalje, ne mogu se listovati dalje od toga, evo jedan primer: Ova trenutna je verovatno globalna kampanja, a mejl automatski prevođen na srpski zbog .rs domena, sigurno šalje i na druge jezika i na druge mejlove i domene i tako pokušava da malo personalizuje |