Raiffeisen upozorava na zlonamernu fišing kampanju
#1
Upozorenje sa fejsbuk stranice Raiffeisen banke:

   

uz primer fišing mejla:

   

Na sajtu sam primetio da imaju svežu kolekciju primera fišing mejlova što je dosta dobar način za edukaciju korisnika:

https://www.raiffeisenbank.rs/sr/news/20...panja.html
Reply
#2
Pošto sam našao jedan melj mogu malo više da analiziram,

Na mejl adresu gde sam našao, stiglo je pet identičnih mejlova u periodu od Sep 25, 2024 6:13PM do Sep 26, 2024 2:27PM

koristila se platforma leadpages .com koja koristi mailgun .com za slanje, mejl je došao sa mejl servera na m225-17.mailgun.net (159.135.225.17).

Zanimljivo je da u primerku mejla do koga sam došao, posle teksta za Raiffeisen koji je vidljiv na skrinšotu u gornjem komentaru, ima dodatni deo koji je navodno od DocLoop-a ?! :


   

   


Zašto je ovo tu ne znam, da li su spameri napravili copy+paste nekog mejla i ostalo je slučajno? Da li su možda dodali da bi pokušali da time zaobiđu mejl filtere na destinaciji? Da li je i to deo nekog phishinga? Da li se DocLoop-ova moj e-racun usluga koristi za neke zloupotrebe? Puno pitanja nula odgovora





Phishing link vodi ka  rs.haiduongcamera .com, domen haiduongcamera .com postoji veoma dugo i deluja kao neka legitimna vijetnamska radnja. Moguće je da su im hakovali hosting provajdera i uneli sebi DNS zapis za rs. poddomen za ovaj phishing. U ovom trenutku je phishing stranica još uvek aktivna. 

Pa da vidimo kako izgleda:


   


kada unesem "podatke":


   


kada "aktiviram":


   


kada "potvrdim":

   

onda vrti nešto jako dugo jer jebiga očigledno kartica nije validna i vrati se sa time da kartica nije validna i da pokušam ponovo.

U pozadini napravi falj rs.haiduongcamera .com/homa/xxx.xxx.xxx.xxx.txt gde je xxx moja IP adresa i ubacuje sve podatke koje sam uneo u njega, verovatno to radi za sve i tako ima podatke po IP adresama. 

Direktorijum /homa/ nije čitljiv i ne prepoznajem šta je ovaj backend :


   
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)