• Oleksiy Mykul'skyy

Фішинг аккаунтів DHL

Сьогодні ми розглянемо приклад елементарного фішингу з реальної практики. Проаналізуємо наступний лист:

Як видно зі скріншоту, у вкладенні у нас є htm сторінка, яку пропонується завантажити «одержувачу посилки», який нічого не підозрює.

Всередині цього документа можна побачити код JS, який містить певне закодоване за допомогою функції escape строкове значення в форматі Юнікод:

Для декодування цього фрагмента можна скористатися, наприклад, таким ресурсом:

http://scriptasylum.com/tutorials/encode-decode.html

Після декодування стає очевидно, що це ще не кінець, і текст все ще закодований, але на цей раз за допомогою base64:

Розкодуємо і його. У підсумку отримуємо код сторінки, яка, запускаючись локально, імітує офіційну сторінку компанії DHL - і явно підходить під мета збору емейлів і паролів від DHL акаунтів:

Серед іншого в тілі цієї сторінки є посилання на ресурс:

При спробі зайти на цей ресурс, відразу відбувається редирект на сайт DHL, щоб користувач, перевіряючи посилання в браузері, нічого не запідозрив і зміг переконатися, в тому, що дійсно знаходиться на сайті DHL:

Судячи з трафіку, йде post з передачею пароля і емейла, який ми вводимо на фальшивій сторінці, а потім, як і очікувалося, йде редирект на сам сайт DHL.

Так що перед нами дійсно фішинг DHL акаунтів. 

Залишається тільки поставити дане посилання в блок на фаєрвол і ще раз нагадати користувачам уважно перевіряти посилання, за якими у них запитують паролі.

0 перегляд
arrow&v

Washington DC

1300 I Street NW

Suite 400E, Washington

District of Columbia, 20005

+1 202 749 8432

Kyiv

 

10/14 Radyscheva St., Kyiv

Ukraine, 03124

+380 44 594 8018

Tbilisi

 

33b Ilia Chavchavadze ave, 0179, Tbilisi, 

Georgia
+995 32 224 0366

Wrocław

 

1 Grabarska st., 50-079  Wrocław,

Poland

+48 71 747 8705

Almaty

808V, 165B Shevchenko St, 050009, Almaty,

Kazakhstan

+7 727 341 0024

i n f o @ i s s p . c o m

© 2020 by ISSP - Information Systems Security Partners