SBB hosting
#1
Izgleda da je aktivna phishing kampanja navodno za isticanje domena.
Nemam nista vise o ovome sem slika...


Attached Files Image(s)
       
Reply
#2
Ta lokacija elsikkerhetsforbundet[.]no, IP: 195.204.187.15, je kompromitovana izgleda na više načina.

Ovo vidimo kada odemo na stranicu:

[Image: attachment.php?aid=336]

A redirektuje i ovde:

[Image: attachment.php?aid=337]


Attached Files Image(s)
       
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#3
SBB je izdao zvanično saopštenje: https://sbb.rs/obavestenje-o-laznom-pred...ng-poruke/. Nadam se samo da su kontaktirali i sve potrebne CERT-ove ili vlasnike resursa da zaustave ovu kampanju. Detalje kako to uraditi smo opisali ovde: https://bezbedanbalkan.net/thread-153.html.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#4
Можда мало касни, али није на одмет поменути и овде да сам овај инцидент пријавио Еунету (СББ хостинг) у суботу 17. децембра.

Мејл је имао везу са приказаном адресом (без протокола)
Code:
myhosting.sbb.rs/7dad19646e/мојдомен.рс
али је дестинација била (протокол без сертификата)
Code:
http : // eee-compytel.mx/wp-admin/bk
а она преусмерава на 
Code:
https :// fjr.arq.br/wp-admin/myhosting/sbb.rs/auth/payment.php?credential#_adad1630c56a05647


Што ће рећи, компромитовани су (изгледа Вордпреес) сајтови који су онда искоришћени за слање ових фишинг мејлова и хостовање фишинг формулара.


Комплетно заглавље епоште је:
   

а ово је изводни кôд поруке:
   

Страница за фишинг је са копијом процесора Банке Интеса:
   
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)