Sa twittera https://twitter.com/ITkutak/status/1722917405230235811
dobijene poruke:
linkr .it/2ZLkTo redirektuje na posto-rs .com/login
posto-rs .com has address 172.67.198.164
posto-rs .com has address 104.21.92.208
linkr .it/18vgDL redirektuje na rsposta .top/r8Q
rsposta .top has address 74.48.108.228
I zanimljiv detalj da radi samo na mobilnom, prethodno sam naišao na jedan sličan ali otvarao sa desktopa pa mi je domen izlazio kao parkiran: https://bezbedanbalkan.net/thread-912.html
Promenom UA u browseru na desktopu dobijamo sajt:
Klik na dalje dobijamo unos podataka:
Pa posle toga unos kartice:
posle čega pokaže:
i brzinom munje redirektuje na https://www.posta.rs/cir/o-nama/posta-danas.aspx
oba sajta su praktično ista i isto se ponašaju
sva komunikacija i krađa podataka ide preko websocket na:
wss://rsposta .top/socket.io/?EIO=4&transport=websocket&sid=X
wss://posto-rs .com/socket.io/?EIO=4&transport=websocket&sid=Y
Što se tiče parkirane strane, ima na njoj mejl za navodnu kupovinu domena, markus @ gmail .com, parking stranica je svakako lažna i servira se sa samog hostinga ovog domena, normalne parking stranice serviraju sa centralne lokacije kod domenskih registara ili firme za parking, a ne ovako.
Ovaj domen sam našao, registrovan juče, može biti sledeći korišćen: postars .cc
Quote:Naslućujem da cure negde podaci iz Pošta Srbije, preciznije Post Express dela. Juče mi je poslata pošiljka, danas mi stiže phishing sms vezan za detalje isporuke (i naravno traže se podaci o platnoj kartici).
Danas su mi na isti broj stigle dve poruke sa istom tematikom (pogrešna adresa za dostavu, dopunite podatke). Do danas nisam dobio ni jednu takvu...
Web app im je dosta lepo napravljen, ima malih gluposti oko prevoda, ali brending na mestu, polise koje ne dozvoljavaju snimanje i screenshotove, pristup samo za mobile uređaje, na desktopu su to parkirani domeni za prodaju... Neko se potrudio
dobijene poruke:
linkr .it/2ZLkTo redirektuje na posto-rs .com/login
posto-rs .com has address 172.67.198.164
posto-rs .com has address 104.21.92.208
linkr .it/18vgDL redirektuje na rsposta .top/r8Q
rsposta .top has address 74.48.108.228
I zanimljiv detalj da radi samo na mobilnom, prethodno sam naišao na jedan sličan ali otvarao sa desktopa pa mi je domen izlazio kao parkiran: https://bezbedanbalkan.net/thread-912.html
Promenom UA u browseru na desktopu dobijamo sajt:
Klik na dalje dobijamo unos podataka:
Pa posle toga unos kartice:
posle čega pokaže:
i brzinom munje redirektuje na https://www.posta.rs/cir/o-nama/posta-danas.aspx
oba sajta su praktično ista i isto se ponašaju
sva komunikacija i krađa podataka ide preko websocket na:
wss://rsposta .top/socket.io/?EIO=4&transport=websocket&sid=X
wss://posto-rs .com/socket.io/?EIO=4&transport=websocket&sid=Y
Što se tiče parkirane strane, ima na njoj mejl za navodnu kupovinu domena, markus @ gmail .com, parking stranica je svakako lažna i servira se sa samog hostinga ovog domena, normalne parking stranice serviraju sa centralne lokacije kod domenskih registara ili firme za parking, a ne ovako.
Ovaj domen sam našao, registrovan juče, može biti sledeći korišćen: postars .cc
