Login

***milos_rs*** · 09-18-2024, 11:55 AM

Istražitelji pokušavaju da rasvijetle phishing prevaru koja hara Balkanom

Quote:Ljudi širom Balkana postali su meta koordinisane SMS phishing prevare zasnovane na lažnim obavještenjima o poštanskoj dostavi

Quote:Iz Nacionalnog regulatornog tijela za elektronske komunikacije i poštanske usluge Srbije (CERT) navode da je phishing jedna od pet najvažnijih vrsta sajber-napada, sa brojem slučajeva koji rapidno raste, od oko 17.000 u 2021. godini do više od 63.000 u 2023. godini

Poruke phishinga koje navodno dolaze od službi za dostavu takođe su u porastu. Iz CERT-a su saopštili da je u 2023. godini prijavljeno 306 takvih slučajeva.
"Ovo su incidenti povezani sa navodnom nemogućnošću isporuke paketa zbog nepotpunih adresa građana", kazali su iz CERT-a za BIRN.

Iz tog regulatornog tijela upozorili su na takve prevare još od 2021. godine, ali su vlasti tek početkom 2023. počele da sprovode istragu.

Ekspertkinja za digitalna prava, Nevena Ružić, kazala je da su javne institucije često prespore u obavještavanju javnosti kada pretrpe sajber-napad. Kada su državna preduzeća Elektroprivreda Srbije (EPS) i katastarska uprava pretrpjele curenja podataka, javnost je o tome saznala tek iz medijskih izvještaja.
Ružić je istakla da javne institucije često preferiraju da ne govore ništa osim ako nijesu primorane da reaguju.

"Oni (EPS i katastarska uprava) nijesu izašli u javnost sve dok se nije podigla velika prašina", kazala je Ružić za BIRN. "Kao da je bila mantra da ćute".

***milos_rs*** · (This post was last modified: 09-23-2024, 09:02 PM by milos_rs.)

sveži domeni koji se verovatno koriste u kampanji:

postarsm.top
postarsa-rs.cc
postarsv.buzz
postarsproblemaddress.top
rsposta.vip
serbianpostta.online
serbiapostaa.shop

Code:
postarsm.top has address 188.114.96.2 (CF)

postarsa-rs.cc has address 142.171.126.24

postarsv.buzz has address 49.51.68.156

postarsproblemaddress.top has address 94.156.66.72

rsposta.vip has address 209.141.32.159

serbianpostta.online has address 104.21.43.219 (CF)

serbiapostaa.shop has address 188.114.97.3 (CF)

***milos_rs*** · 10-05-2024, 08:39 PM

Neki sumnjivi domeni, nemam dokaza da se koriste za scam i nemaju DNS zapise ali možemo pretpostaviti na osnovu imena :

serbiaposta.bond
serbianpostars.online
postars.vip

***milos_rs*** · (This post was last modified: 10-15-2024, 01:08 PM by milos_rs.)

U Hrvatskoj slična priča...

Filename: 1728984664322.jpg Size: 55.62 KB 10-15-2024, 12:43 PM

Filename: 1728987212395.png Size: 270.32 KB 10-15-2024, 12:43 PM

hrvatskaposta-hr.com
hrvatska-posta.com

hrvatskaposta-hr.com has address 194.110.247.73

dele prevaru sa drugima:

Filename: dnslik.png Size: 87.64 KB 10-15-2024, 01:07 PM

***milos_rs*** · 10-23-2024, 06:57 PM

DHL kampanja u toku...

Filename: dhll1.jpg Size: 66.88 KB 10-23-2024, 06:48 PM

Filename: dhll2.jpg Size: 64.24 KB 10-23-2024, 06:48 PM

Filename: dhll3.jpg Size: 64.37 KB 10-23-2024, 06:48 PM

Posle toga traži lične podatke, i onda podatke platne kartice

sajt otvara samo preko mobilnog UA dok na desktopu pokazuje:

Filename: dhll4.png Size: 14.74 KB 10-23-2024, 06:48 PM

mojdhlpaket.com has address 91.202.233.188

Na istoj IP adresi ima ili je u nekom trenutku bilo i drugih sajtova:

info-track-ups-help.com
info64283-collect-ups.com
package-trace.com

Zanimljiva podešavanja u sors kodu sajta:

Code:
<script>var settings = {"SENDREZ":{"chatidtlg":"J4s4KDupmxntDBTxweTi7yjcsNb09FeTNYB5F2lHPOATEkNCRuQTa4vTvIWBQxHIwV0O1GWCEW9dW6gniWtiAA==","bottokentlg":"2HpDwhXQHt+HY231DlKMP\/7qROUFSvpYWZvazcSVeHMjHMUpAwZmdFduIof9QAlpUVsrBR+GiqDkwMv\/SpAwOYTBJscLIq6IIXb9aiyRMTmMB0UU1+3+xSoyV82pK5QA","rezmail":"","reztxt":false,"formatxt":"Choisissez..."},"PFEATURES":{"otpenable":true,"emailenable":true,"otptype":"1","vbvappenable":true,"billingenable":true,"autosuivienable":true,"suivinum":"BA793724743IN","autootp":false,"waittimeapay":"20","autofinale":false,"rezloginenable":true,"customprice":"2.99","paneltlg":true,"pinenable":true},"APIS":{"useapipro":false,"usebincodeapi":false,"apirequest":"BrjDjACjFkfvuji1910IDwIXkHLfYXeD+2bAfepbZcuyE4nYdhlTPz4z3k3YCFw3M1++748EZGgMOPsbpA9ngw==","apipro":"","apibincheck":""},"ANTIBOTS":{"captchaRequired":true,"mobileOnly":true,"disablewhitelistisp":false,"secretcaptcha":"ES_f9fb83455b734e57a657a7632a491db9","sitekey":"b65428c6-cb14-43ae-abb0-c174d358a632","country_isps":{"France":["orange","sfr","bouygues","free","lebara","numericable"],"Belgium":["orange","proximus","telenet","brutele","scarlet","voo","Proximus NV","PROXIMUS"],"Switzerland":["aldi","salt","sunrise","quickline","improware"],"Germany":["deutsche telekom","vodafone","o2","1&1","unitymedia"],"Argentina":["telecom argentina","telecentro","claro","fibertel"],"Australia":["telstra","optus","tpg","vocus","iinet","dodo"],"Austria":["a1 telekom","magenta","3","upc"],"Azerbaijan":["baktelecom","azercell","narmobile","uninet"],"Brazil":["vivo","claro","oi","tim","nextel","algar telecom"],"China":["china telecom","china unicom","china mobile","china tietong"],"Colombia":["claro","tigo","etb","movistar","une"],"Croatia":["hrvatski telekom","vipnet","telemach","optima","bonbon"],"Denmark":["telenor","telia","3","yousee","halebop"],"Egypt":["vodafone","orange","etisalat","telecom egypt","we"],"United Arab Emirates":["etisalat","du","virgin mobile"],"Spain":["movistar","vodafone","orange","masmovil","yoigo","pepephone"],"Estonia":["telia","elisa","tele2","stv","super"],"Finland":["telia","dna","elisa","moi","lounea"],"Greece":["cosmote","vodafone","wind","forthnet","cyta"],"Georgia":["magticom","beeline","silknet","geocell","optima"],"Honduras":["tigo","claro","hondutel","digicel"],"Hong Kong":["hkt","hutchison","sunday","china mobile","smartone"],"Hungary":["telekom","telenor","vodafone","digimobil","upc"],"Ireland":["eir","vodafone","three","sky","tesco mobile"],"Iceland":["s\u00edminn","nova","vodafone","hall\u00f3","tismi"],"Israel":["bezeq","cellcom","partner","hot","pelephone"],"Italy":["telecom italia","vodafone","wind","fastweb","tiscali","iliad"],"Japan":["ntt","kddi","softbank","rakuten","uq"],"Latvia":["lmt","bite","tele2","tet","triatel"],"Lithuania":["telia","bite","tele2","cgc","mezon"],"Luxembourg":["post","orange","tango","pro-networks","eltrona"],"Mexico":["telmex","megacable","axtel","totalplay","izzi"],"Norway":["telenor","telia","ice","altibox","nextgentel"],"New Zealand":["spark","vodafone","2degrees","orcon","trustpower"],"Panama":["cable & wireless","cable onda","digicel","claro","movistar"],"Netherlands":["kpn","ziggo","vodafone","t-mobile","tele2"],"Philippines":["pldt","globe","smart","sky","converge"],"Poland":["orange","play","plus","t-mobile","aero2"],"Portugal":["nos","meo","vodafone","nowo","lycamobile"],"Qatar":["ooredoo","vodafone","virgin mobile"],"United Kingdom":["bt","virgin media","sky","talktalk","plusnet","ee"],"Czech Republic":["o2","t-mobile","vodafone","upc","centrio"],"Serbia":["telekom srbija","telenor","vip mobile","mts","orion"],"Slovakia":["orange","telekom","o2","4ka","swan"],"Sweden":["telia","tele2","telenor","tre","comhem"],"Taiwan":["chunghwa telecom","taiwan mobile","far eastone","apbt","t-star"],"Thailand":["ais","dtac","true","tot","mybycat"],"Uruguay":["antel","movistar","claro","dedicado"]}}};</script><html>

***milos_rs*** · 10-24-2024, 11:07 AM

u BiH sve slično:

Filename: 2x47z5ai43wd1.jpeg Size: 90.65 KB 10-24-2024, 11:04 AM

link qrco .de/bfV3uo redirektuje na xyh22 .top/bi i otvara samo preko mobilnog UA:

Filename: bhp1.png Size: 183.12 KB 10-24-2024, 11:07 AM

***milos_rs*** · 10-24-2024, 08:05 PM

još iz Bosne:

Filename: 1729511082731.png Size: 195 KB 10-24-2024, 08:04 PM

qrco .de/bfTsEL je deaktiviran u ovom trenutku

***milos_rs*** · (This post was last modified: 10-31-2024, 08:47 PM by milos_rs.)

Neki sumnjivi domeni:

postars.bio
postars.buzz
rspostars.cc
rspostars.cfd
postars.workers.dev
rspostar.icu
rspostaeurn.top
postars.store

postars.buzz has address 150.109.241.95
postars.store has address 104.168.77.158

samo ovaj poslednji, postars.store, je još uvek aktivan i učitava lažni sajt pošte

***milos_rs*** · 11-03-2024, 10:30 PM

serbiapost-rs.com je bio aktivan oko 12.10.2024

IP mu je bio 50.6.174.207

izgledao je:

Filename: a7b81ea5-80a1-4bc1-8640-5a38dfbd160d.png Size: 106.01 KB 11-03-2024, 10:30 PM

***milos_rs*** · (This post was last modified: 12-07-2024, 11:47 PM by milos_rs.)

pošta scam se izgleda prebacila na mejl:

Filename: postn2.jpg Size: 97.06 KB 12-07-2024, 08:44 PM

link je, na primer, rol.marketplacelisting .co/rs/default.php?id=XPaEq9

izgleda ovako:

Filename: postt2.png Size: 352.23 KB 12-07-2024, 11:20 PM

ne uspevam da otvorim sa tog linka, ali uspevam na rol.marketplacelisting .co/rs/

čini mi se da se sve što je od pošte na ovoj stranici zapravo i učitava sa posta.rs što znači da posta.rs dozvoljava trećim sajtovima učitavanje resursa sa svog sajta, što je prilično loše i to bi mogli da zabrane da bi barem nešto olakšali malicioznima da im kloniraju sajt...

Filename: Screenshot_20241208_004242.png Size: 162.76 KB 12-07-2024, 11:47 PM

prvobitne unete podatke šalje na rol.marketplacelisting .co/rs/default.php?id=xxxxxx

onda traži karticu koju šalje na rol.marketplacelisting .co/rs/info.php?id=yyyyyy

Filename: postt4.png Size: 146.32 KB 12-07-2024, 11:33 PM

onda traži sms verifikaciju od "banke" koju šalje na rol.marketplacelisting .co/rs/loadposta.php?id=zzzzzz&verify=1234 :

Filename: postt3.png Size: 49.87 KB 12-07-2024, 11:32 PM

i onda jednostavno redirektuje na zvanični sajt pošte

Login
Username/Email:
Password:	Lost Password?
	Remember me