Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Dostałeś negatywny komentarz na Allegro!” Uwaga na kolejny phishing żerujący na negatywnych emocjach
Nasz czytelnik Artur podesłał na naszą skrzynkę sekurak@sekurak.pl ciekawy phishing podrabiający się pod serwis Allegro, który informuje nas, że otrzymaliśmy negatywny komentarz od użytkownika Vtronik71. Taki użytkownik nie istnieje, a korespondencja przyszła z adresu noreply[.]alegro[.]aw77bukg[@]webskyemail[.]net. Domena za znakiem “@” od razu nas informuje, że jest to próba oszukania nas. Sprawdziliśmy tę domenę i jak się okazało jest to frywolna instalacja serwera pocztowego Mail-in-a-Box często wykorzystana przez cyber zbójów co utrudnia ich namierzenie po schowaniu domeny za płatnymi serwisami oferującymi takie usługi.
Rys. 1. Fałszywy nadawca podszywający się pod serwis Allegro.
Wszystkie linki z wnętrza korespondencji kierują do jednego adresu:
https://moje-alleegro[.]luxothek[.]com/feedback/.
Rys. 2. Wiadomość phishingowa przypominająca wiadomość z Allegro.pl
Jednak phishing należy uznać za nieudany. Nie dość, że strona już nie istnieje (a może nigdy nie istniała) to poza resztkami instalacji serwera WWW Apache, certyfikat bezpieczeństwa SSL wygasł i nie można wejść od razu na stronę :-), a przynajmniej zwykły użytkownik bez wiedzy technicznej od razu zwróci uwagę, że coś jest nie tak. Po akceptacji ryzyka w przeglądarce związanego z wygaśniętym certyfikatem naszym oczom ukazuje się strona błędu 404.
Rys. 3. Phishing który nie działa.
Udało się jeszcze zweryfikować domenę w serwisie VirusTotal.com zanim w ogóle przestało wszystko działać.
Rys. 4. Weryfikacja szkodliwości domeny w serwisie virustotal.com
Phishing nadal jest jednym z najpopularniejszych i najbardziej skutecznych ataków wykorzystywanych przez cyber zbójów. W tym przypadku nasz czytelnik zachował zimną krew i nie dał się nabrać, a na dodatek przekazał nam próbkę byśmy mogli podzielić się z Wami. Dobra robota!
~tt