Adathalász kísérlet a Rackforest nevében

A héten a 2. ilyen levelet kaptam, gondoltam szórakozzunk egyet. Megnyitottam inkognitó módban a linket, random usernévvel/jelszóval "belépem" a felületükre, random adatokkal kitöltöttem a kártya adatokat, majd a fizetés gombra kattintottam. És nem fogadta el!

Eszem megáll, hogy jobban figyelnek a bevitt adatok érvényességére, mint sok igazi weboldal :-)

Egy weboldal segítségével generáltam valid kártya adatokat, ezt már simán elfogadta, majd kérte a 3D secure ellenőrző kódot. Az már elfogadott bármit, csak 5 jegyű legyen.

Miután jól kiröhögtem magam, elgondolkodtam, honnan a fenéből tudták, hogy a levélben jelzett domain hozzám tartozik? Miközben az e-mail cím egy direkt erre a célra létrehozott mézesbödön cím volt?

A DNS nem a Rackforestnél van, azaz a két cég nem tud egymásról, tehát, ha bármelyiktől szivárognak ki adatok, abból nem derül ki a másik fél neve. Sőt, a mézesbödön cím egy teljesen másik domain alatt van, ami nincs kapcsolatban se a Rackforesttel, se a DNS regisztrátorral.

Ez volt a levél törzse:

Kedves mézesbödön@domain1.hu
tájékoztatjuk, hogy az Ön domainje domain2.hu amelyhez ez az e-mail fiók kapcsolódik, azon a napon lejár 29/05/2023.
Szeretnénk emlékeztetni arra, hogy ha a domain nem újul meg az adott időpontig, akkor ezek és az összes kapcsolódó szolgáltatás, beleértve a postafiókokat is, deaktiválásra kerül, és a továbbiakban nem használhatók küldésre és fogadásra.

( n.balazs v | 2023. 05. 29., h – 11:31 )

Nem igazán értem a problémád. Illetve értem, de ha neked új információ, hogy egy nslookup kiadja a DNS szerverek címeit, illetve a domain.hu oldalon a domain részletes adatainál ott van a regisztrátor is, akkor üdv a valóságban. HU domainről beszélek, a többinél ez utóbbi nem feltétlenül látszik.

Lépésenként írom, úgy jobban látszik a gond.
1. Felmegyek domain.hu-ra, beírok egy tetszőleges domain nevet. Legyen mondjuk hup.hu.
2. Feljön a captcha oldal (https://info.domain.hu/captcha/captcha?from=%2Fwebwhois%2F%2Fhu%2Fdomai…). Kitöltöm, majd ok.
3. Megkapom a https://info.domain.hu/webwhois/hu/domain/hup.hu oldal tartalmát.
4. Fogom az url-t és átírom a böngészőben mondjuk https://info.domain.hu/webwhois/hu/domain/bme.hu -ra. És voilá, bejön a bme.hu-hoz tartozó oldal recaptcha nélkül. De beírhatok mást is, tőlem többedik próbálkozásra se kérte újra a captcha kódot.

Részemről az elvárt működés az lenne, hogy 1 db captcha csak egyszeri adatlekérésre jogosít 1 domainhez.
Ha elvisz a TEK reggelre hackerkedésért, akkor elnézést érte. :)

Két dolog hibádzik az elméletedből, a domain.hu oldalon rákerestem az adathalász levélben látható domain-ra, és nem szerepel se a mézesbödön címem, se a Rackforest (mint VPS szolgáltató).

Tételezzük fel, hogy rákeresnek a domain DNS szerverére. Ettől még nem lesz meg se a Rackforest, se a mézesbödön cím összekötése.

Érted, hogy mit nem értek?

Akkor menjünk végig a folyamaton. Lehet, hogy én értelek rosszul. A domain2.hu regisztrátora a Rackforest.

Tfh. a domain neve ismert. Ehhez lekérhetőek az adatok (regisztrátor, névszerverek) az oldalról. A tulajdonos adatai csak segítenek a még jobb hitelesebb átveréshez.
Majd csinálni kell egy zóna transzfert (remélem, hogy ez nálad tiltott, kivéve NS-k között) vagy egy szimpla nslookup domain2.hu -> kapsz egy IP címet, amiből gyorsan meghatározható a szolgáltató (pl: akár egy sima tracert, akár nslookup, akár whois alapján) nagy pontossággal. Minden ismert, kivéve a tulajdonos email címe.

A mézesbödön email cím kikerülése:
- Lehetséges korábbi adatszivárgásból a Rackforesttől vagy Rackforest partnertől, aki a CRM adatbázishoz hozzáférhetett. A https://haveibeenpwned.com/ oldal mond valamit a mézesbödön email címedre?
- Megadtad máshol is ezt a mézesbödön email címet? Ugye nem szerepel se a DNS zónában (pl: DMARC riporthoz), se máshol?

Még azt se vetném el, hogy tőled szivárogtak ki ezek az információk. Végig kell gondolnod, hogy hol és hogyan tároltad ezeket. Elég akár egy elveszett mobiltelefon is, ahonnan kikerülhetett.

Félreérthettél. Más a mail szolgáltatóm (google), más a DNS szolgáltatóm (dotroll), és végül más aVPS szolgáltatóm (RF). A mézesbödön cím sehol sincs megadva, bizonyos weboldalaim fejlécében szerepel csak, az oldalon sehol sem jelenik meg. Most beléptem a RF oldalára. Ott látszik egyedül az a domain név, amire az adathalász levélben hivatkoztak.

Szóval, arra van elvi lehetőség, hogy kiszivárgott a RF-től a domain neve, de ezt mégis hogy kapcsolták össze a mézesbödön címmel? A RF-nél nem is az én nevem van megadva (az ügyfelemé), a mézesbödön címhez pedig nem tartozik név.

A domainemet letiltották - nincs mit tenni :)

Egyébként egy olyan domaint (és tárhelyet) neveznek meg, ami nem is az RF-nél van (a kapcsolatok menüből szedték az email-t, amihez az RF-nek semmi köze). Izgatottan várom, hogy mi a helyzet az RF-es domain/tárhellyel :D

( mauzi v | 2023. 05. 29., h – 22:57 )

Szerkesztve: 2023. 05. 29., h – 22:58

Szia,

saját tapasztalatok alapján, a cél szerver IP tartományát WHOIS-olták meg, és az kapcsolódik a Rackforesthez.

üdv.