05-09-2024, 09:24 PM
Verovatno ista dugogodišnja ekipa od prethodno dokumentovanih "gazprom" kampanja:
Novak Đoković iskorišćen za novu finansijsku prevaru
fake Gazprom investiciona platforma
Internacionalna finansijska prevara (phishing)
Kampanja koja je ovde prikazana se vodi preko fejsbuk reklama, predstavljajući se kao "MP Republike Srbije" tj. Ministarstvo Privrede:
profil sa kojeg su oglasi je facebook .com/profile.php?id=61559162648637
airosohoa .com domen:
Link sa oglasa vodi na airosohoa .com/?utm_creative=%7B%7Bgm14%7D%7D&utm_campaign=%7B%7B512031886817959%7D%7D&utm_source=%7B%7Bfb%7D%7D&utm_placement=Facebook_Desktop_Feed&adset_name=%7B%7Bgm14%7D%7D&fb=314859478183155
izgleda ovako kada se otvori:
zanimljivo je i da učitava nešto sa legitimnog sajta Ministarstva Privrede: privreda.gov .rs/apple-touch-icon.png što znači da bi administratori sajta mogli u logovima videti sve IP adrese koje su se povezivale na prevaranski sajt, tako što će pretražiti u logovima učitavanje ovog fajla sa referrerom prevarantskog sajta.
kliktanje na bilo koji dostupan link na gornjoj stranici dalje vodi na airosohoa .com/?_lp=1&_token=uuid_3blvnvlcsor_3blvnvlcsor663d2de9351648.23861568 ali ovaj link je promenljiv nije uvek isti ali uvek otvara istu stranicu:
Ova stranica se u stvari nalazi na airosohoa .com/lander/sr-gazprom-2/
Pokušao sam se registrovati, registracone podatke šalju na airosohoa .com/lander/sr-gazprom-2/api.php
Nekad se na ovakvim prevarama dobijao direktno pristup platformi za "trejding", ali sada izgleda vrše neke verifikacije ili kontaktiraju preko vibera/WA/itd:
Svi sajtovi se kriju iza Cloudflare-a
Stranica iz fb kampanje je sakrivena i samo specifičan link je otvara i to verovatno samo iz Srbije.
Glavna stranica ovog domena je lažna stranica neke lažne organizacije "GlobalArtChronicles" i izgleda ovako:
putanje na sajtu izgledaju ovako: airosohoa .com/lander/---------white-1/index.html
kontakt na tom sajtu [email protected] - domen ne postoji
drugi kontakt na tom sajtu [email protected] - domen ne postoji
Ali guglajući stvari sa sajta sam našao neke povezane domene...
izgleda da je ovde nekad bio isti ovaj sajt , sada domen ne radi:
sambosola.com
povezani domen sa potpuno istim sajtom trenutno aktivan:
annenuno.com
našao sam da stranica sa prvog sajta otvara sliku sa ovog sajta koji je sumnjivo sličan ali na italijanskom i sa drugim kontakt podacima (naravno lažnim):
rnafor.com
putanje sajta su slične prvom pronađenom sajtu: rnafor .com/lander/---------it-1---white/index.html
sajt izgleda ovako:
Novak Đoković iskorišćen za novu finansijsku prevaru
fake Gazprom investiciona platforma
Internacionalna finansijska prevara (phishing)
Kampanja koja je ovde prikazana se vodi preko fejsbuk reklama, predstavljajući se kao "MP Republike Srbije" tj. Ministarstvo Privrede:
profil sa kojeg su oglasi je facebook .com/profile.php?id=61559162648637
airosohoa .com domen:
Code:
Creation Date: 2024-05-01T14:02:06
Registrar Registration Expiration Date: 2025-05-01T14:02:06
Registrar: TUCOWS, INC.Link sa oglasa vodi na airosohoa .com/?utm_creative=%7B%7Bgm14%7D%7D&utm_campaign=%7B%7B512031886817959%7D%7D&utm_source=%7B%7Bfb%7D%7D&utm_placement=Facebook_Desktop_Feed&adset_name=%7B%7Bgm14%7D%7D&fb=314859478183155
izgleda ovako kada se otvori:
zanimljivo je i da učitava nešto sa legitimnog sajta Ministarstva Privrede: privreda.gov .rs/apple-touch-icon.png što znači da bi administratori sajta mogli u logovima videti sve IP adrese koje su se povezivale na prevaranski sajt, tako što će pretražiti u logovima učitavanje ovog fajla sa referrerom prevarantskog sajta.
kliktanje na bilo koji dostupan link na gornjoj stranici dalje vodi na airosohoa .com/?_lp=1&_token=uuid_3blvnvlcsor_3blvnvlcsor663d2de9351648.23861568 ali ovaj link je promenljiv nije uvek isti ali uvek otvara istu stranicu:
Ova stranica se u stvari nalazi na airosohoa .com/lander/sr-gazprom-2/
Pokušao sam se registrovati, registracone podatke šalju na airosohoa .com/lander/sr-gazprom-2/api.php
Nekad se na ovakvim prevarama dobijao direktno pristup platformi za "trejding", ali sada izgleda vrše neke verifikacije ili kontaktiraju preko vibera/WA/itd:
Svi sajtovi se kriju iza Cloudflare-a
Stranica iz fb kampanje je sakrivena i samo specifičan link je otvara i to verovatno samo iz Srbije.
Glavna stranica ovog domena je lažna stranica neke lažne organizacije "GlobalArtChronicles" i izgleda ovako:
putanje na sajtu izgledaju ovako: airosohoa .com/lander/---------white-1/index.html
kontakt na tom sajtu [email protected] - domen ne postoji
drugi kontakt na tom sajtu [email protected] - domen ne postoji
Ali guglajući stvari sa sajta sam našao neke povezane domene...
izgleda da je ovde nekad bio isti ovaj sajt , sada domen ne radi:
sambosola.com
Code:
Creation Date: 2024-01-17T13:40:15.00Z
Registrar Registration Expiration Date: 2025-01-17T13:40:15.00Z
Registrar: NAMECHEAP INCpovezani domen sa potpuno istim sajtom trenutno aktivan:
annenuno.com
Code:
Creation Date: 2024-04-14T20:20:30
Registrar Registration Expiration Date: 2025-04-14T20:20:30
Registrar: TUCOWS, INC.našao sam da stranica sa prvog sajta otvara sliku sa ovog sajta koji je sumnjivo sličan ali na italijanskom i sa drugim kontakt podacima (naravno lažnim):
rnafor.com
Code:
Creation Date: 2024-04-03T19:33:58
Registrar Registration Expiration Date: 2025-04-03T19:33:58
Registrar: TUCOWS, INC.putanje sajta su slične prvom pronađenom sajtu: rnafor .com/lander/---------it-1---white/index.html
sajt izgleda ovako: