Slučajnost ili nešto više? Pošta scam SMS stiže primaocu dan nakon slanja pošiljke
#1
Sa twittera https://twitter.com/ITkutak/status/1722917405230235811

Quote:Naslućujem da cure negde podaci iz Pošta Srbije, preciznije Post Express dela. Juče mi je poslata pošiljka, danas mi stiže phishing sms vezan za detalje isporuke (i naravno traže se podaci o platnoj kartici).

Danas su mi na isti broj stigle dve poruke sa istom tematikom (pogrešna adresa za dostavu, dopunite podatke). Do danas nisam dobio ni jednu takvu...

Web app im je dosta lepo napravljen, ima malih gluposti oko prevoda, ali brending na mestu, polise koje ne dozvoljavaju snimanje i screenshotove, pristup samo za mobile uređaje, na desktopu su to parkirani domeni za prodaju... Neko se potrudio

dobijene poruke:

   

linkr .it/2ZLkTo redirektuje na posto-rs .com/login

posto-rs .com has address 172.67.198.164
posto-rs .com has address 104.21.92.208

linkr .it/18vgDL redirektuje na rsposta .top/r8Q

rsposta .top has address 74.48.108.228

I zanimljiv detalj da radi samo na mobilnom, prethodno sam naišao na jedan sličan ali otvarao sa desktopa pa mi je domen izlazio kao parkiran: https://bezbedanbalkan.net/thread-912.html

Promenom UA u browseru na desktopu dobijamo sajt:

   

Klik na dalje dobijamo unos podataka:

   

Pa posle toga unos kartice:

   

posle čega pokaže:

   

i brzinom munje redirektuje na https://www.posta.rs/cir/o-nama/posta-danas.aspx

oba sajta su praktično ista i isto se ponašaju

sva komunikacija i krađa podataka ide preko websocket na: 

wss://rsposta .top/socket.io/?EIO=4&transport=websocket&sid=X

wss://posto-rs .com/socket.io/?EIO=4&transport=websocket&sid=Y

Što se tiče parkirane strane, ima na njoj mejl za navodnu kupovinu domena, markus @ gmail .com, parking stranica je svakako lažna i servira se sa samog hostinga ovog domena, normalne parking stranice serviraju sa centralne lokacije kod domenskih registara ili firme za parking, a ne ovako.

Ovaj domen sam našao, registrovan juče, može biti sledeći korišćen:  postars .cc
Reply
#2
Imamo još jednu temu gde smo sumnjali da podaci negde cure: Pošta smishing.

I sproveli smo i anketu: https://twitter.com/ivanmarkovicsec/stat...5976351744.

   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#3
Dodacu i ovo:
https://www.abuseipdb.com/check/91.195.240.123
https://www.virustotal.com/gui/ip-addres.../relations
https://www.virustotal.com/gui/domain/po.../relations
https://www.virustotal.com/gui/ip-addres...95.240.123
https://www.virustotal.com/gui/domain/rs.../relations


Attached Files Image(s)
                       
There is no patch for stupidity - Kevin Mitnick
Reply
#4
verovatno od istog aktera...

   

link je postaer-rspt .top/gQLimA/ na desktopu otvara lažnu parking stranicu, sa mobilnim UA otvara:

   

dalje se dobije popunjavanje podataka:

   

onda traži karticu:

   

i traži SMS kod što znači da verovatno odmah pokušava nešto da naplati možda, ne znam:

   

slanje podataka ide preko POST na postaer-rspt .top/api/U2FsdGVkX1 i onda još gomila karaktera koji se menjaju sa svakim zahtevom, takođe se informacije šalju enkodovane istim nekim enkoderom kao i taj deo posle /api/, nisu čist tekst.
Reply
#5
parking strana...

   

i ovde je mejl markus @ gmail.com
Reply
#6
još jedan icloud mejl sa kog stiže, izgleda da je ova kampanja danas jaka

   
Reply
#7
Evo ga još jedan, izvor: https://twitter.com/bbibliotekar/status/...7918457940

   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#8
Novi novcijat

   

151464153.postars .lat/87dZtk/

ali kopirajte link lol, pa pola ljudi to ni ne zna da uradi

Code:
Domain Name: POSTARS.LAT
Registry Domain ID: D415438548-CNIC
Updated Date: 2023-12-05T05:31:13.0Z
Creation Date: 2023-12-05T05:31:09.0Z
Registry Expiry Date: 2024-12-05T23:59:59.0Z
Registrar: Namecheap


Otvara istu "domain is for sale" stranicu sa istim onim mejlom kao i ostali. Sajt iza cloudflare-a

Ne uspevam ni sa promenom UA da otvorim na desktopu, samo na mobu, nemam sad vremena da se igram, treba dignem neki Android emulator za ovakve stvari.

uspeo sam jedino grešku neku da izvučem {"code":500,"msg":"internal error:ENOENT: no such file or directory, stat '/code/landingPage/landingpage/index.html'"}
Reply
#9
Još jedan mejl, izgleda da kampanja trenutno ide punom parom

   
Reply
#10
151464153[.]postars[.]lat, CloudFlare + Namecheap, Created on 2023-12-05
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)