11-03-2022, 09:25 AM
(This post was last modified: 11-03-2022, 10:55 AM by kernel_priest.)
Mailovi dolaze sa debanoirblog[.]com
Na telefonu je jako tesko prepoznati posiljaoca - vecina android mail klijenata prikazuje tek osnovne podatke (bez maila odakle se salje) tako da bi ovaj phishing mogao da bude sa vecim % prolaznosti. Mail je lokalizovan (kao da salje firma iz Srbije)
Obasnjenje strategije napadaca: Sadrzaj ne postoji (PDF/racun) - reply-to sluzi jer prvobitni host debanoirblog jer kompromitovan i iskoristen da posalje na hiljade mailova prema listi koju ima napadac. Svaki email ima uniq ID: email+ numericki kod (u ovom slucaju 56801). Prilikom reply se verifikuje postojanje poslatog maila sa ta dva faktora - sa druge strane se nalazi operateri koji preuzimaju "kllijenta" i klasicna prevara moze da pocne. Cilj je otudjivanje novca, kartice i drugog.
Kasnije se zrtvi salje upustvo kako da posalje novac da bi obustavili transakciju.
Cak i ako ne uzme novac - napadac ima verifikovanu email adresu kojiu moze da koristi za buduce napade.
Dodatne informacije:
debanoirblog[.]com. 300 IN MX 1 debanoirblog[.]com.
debanoirblog[.]com. 300 IN A 92[.]52[.]217[.]177
Na slikama su primjer header maila, mail i zaglavlje na mail klijentu
zaglavlje maila:
Na telefonu je jako tesko prepoznati posiljaoca - vecina android mail klijenata prikazuje tek osnovne podatke (bez maila odakle se salje) tako da bi ovaj phishing mogao da bude sa vecim % prolaznosti. Mail je lokalizovan (kao da salje firma iz Srbije)
Obasnjenje strategije napadaca: Sadrzaj ne postoji (PDF/racun) - reply-to sluzi jer prvobitni host debanoirblog jer kompromitovan i iskoristen da posalje na hiljade mailova prema listi koju ima napadac. Svaki email ima uniq ID: email+ numericki kod (u ovom slucaju 56801). Prilikom reply se verifikuje postojanje poslatog maila sa ta dva faktora - sa druge strane se nalazi operateri koji preuzimaju "kllijenta" i klasicna prevara moze da pocne. Cilj je otudjivanje novca, kartice i drugog.
Kasnije se zrtvi salje upustvo kako da posalje novac da bi obustavili transakciju.
Cak i ako ne uzme novac - napadac ima verifikovanu email adresu kojiu moze da koristi za buduce napade.
Dodatne informacije:
debanoirblog[.]com. 300 IN MX 1 debanoirblog[.]com.
debanoirblog[.]com. 300 IN A 92[.]52[.]217[.]177
Na slikama su primjer header maila, mail i zaglavlje na mail klijentu
zaglavlje maila: