Pošto sam našao jedan melj mogu malo više da analiziram,
Na mejl adresu gde sam našao, stiglo je pet identičnih mejlova u periodu od Sep 25, 2024 6:13PM do Sep 26, 2024 2:27PM
koristila se platforma leadpages .com koja koristi mailgun .com za slanje, mejl je došao sa mejl servera na m225-17.mailgun.net (159.135.225.17).
Zanimljivo je da u primerku mejla do koga sam došao, posle teksta za Raiffeisen koji je vidljiv na skrinšotu u gornjem komentaru, ima dodatni deo koji je navodno od DocLoop-a ?! :
Zašto je ovo tu ne znam, da li su spameri napravili copy+paste nekog mejla i ostalo je slučajno? Da li su možda dodali da bi pokušali da time zaobiđu mejl filtere na destinaciji? Da li je i to deo nekog phishinga? Da li se DocLoop-ova moj e-racun usluga koristi za neke zloupotrebe? Puno pitanja nula odgovora
Phishing link vodi ka rs.haiduongcamera .com, domen haiduongcamera .com postoji veoma dugo i deluja kao neka legitimna vijetnamska radnja. Moguće je da su im hakovali hosting provajdera i uneli sebi DNS zapis za rs. poddomen za ovaj phishing. U ovom trenutku je phishing stranica još uvek aktivna.
Pa da vidimo kako izgleda:
kada unesem "podatke":
kada "aktiviram":
kada "potvrdim":
onda vrti nešto jako dugo jer jebiga očigledno kartica nije validna i vrati se sa time da kartica nije validna i da pokušam ponovo.
U pozadini napravi falj rs.haiduongcamera .com/homa/xxx.xxx.xxx.xxx.txt gde je xxx moja IP adresa i ubacuje sve podatke koje sam uneo u njega, verovatno to radi za sve i tako ima podatke po IP adresama.
Direktorijum /homa/ nije čitljiv i ne prepoznajem šta je ovaj backend :