„Dostałeś negatywny komentarz na Allegro!” Uwaga na kolejny phishing żerujący na negatywnych emocjach

Nasz czytelnik Artur podesłał na naszą skrzynkę sekurak@sekurak.pl ciekawy phishing podrabiający się pod serwis Allegro, który informuje nas, że otrzymaliśmy negatywny komentarz od użytkownika Vtronik71. Taki użytkownik nie istnieje, a korespondencja przyszła z adresu noreply[.]alegro[.]aw77bukg[@]webskyemail[.]net. Domena za znakiem “@” od razu nas informuje, że jest to próba oszukania nas. Sprawdziliśmy tę domenę i jak się okazało jest to frywolna instalacja serwera pocztowego Mail-in-a-Box często wykorzystana przez cyber zbójów co utrudnia ich namierzenie po schowaniu domeny za płatnymi serwisami oferującymi takie usługi.

Rys. 1. Fałszywy nadawca podszywający się pod serwis Allegro.

Wszystkie linki z wnętrza korespondencji kierują do jednego adresu:

https://moje-alleegro[.]luxothek[.]com/feedback/. 

Rys. 2. Wiadomość phishingowa przypominająca wiadomość z Allegro.pl

Jednak phishing należy uznać za nieudany. Nie dość, że strona już nie istnieje (a może nigdy nie istniała) to poza resztkami instalacji serwera WWW Apache, certyfikat bezpieczeństwa SSL wygasł i nie można wejść od razu na stronę :-), a przynajmniej zwykły użytkownik bez wiedzy technicznej od razu zwróci uwagę, że coś jest nie tak. Po akceptacji ryzyka w przeglądarce związanego z wygaśniętym certyfikatem naszym oczom ukazuje się strona błędu 404.

Rys. 3. Phishing który nie działa.

Udało się jeszcze zweryfikować domenę w serwisie VirusTotal.com zanim w ogóle przestało wszystko działać.

Rys. 4. Weryfikacja szkodliwości domeny w serwisie virustotal.com

Phishing nadal jest jednym z najpopularniejszych i najbardziej skutecznych ataków wykorzystywanych przez cyber zbójów. W tym przypadku nasz czytelnik zachował zimną krew i nie dał się nabrać, a na dodatek przekazał nam próbkę byśmy mogli podzielić się z Wami. Dobra robota!

~tt