Kik vannak az MVM, POSTA, OTP csalások mögött

Online SMS szolgáltatás -> Francia telefonszám -> SMS -> Phishing oldal -> telegram bot -> támadó(k) -> pénzt utal vagy más accounthoz csatolja a kártyád -> a rendelt csomagot egy proxy emberhez küldik -> eladja a terméket és X százalékban elküldi a pénzt az eredeti phishernek | Illetve van mikor cryptovaluttá vesznek

A bankkok és emberek első reakciója: "De ez nem történhez meg mert van 2FA". Ezt persze azok mondják akik nem értik hogy működik a phishing... a 2FA kód az pontosan 1 oldallal "hosszabb" phishing oldal, bekéri azt is és a user megadja. Szóval ha esetleg azt mondaná a bnakod azért válaszd őket mert van 2FA SMS-ben az ma már minden csak nem biztonságos. Itt gondolj arra is hogy hol tart ma a simswapping, konkrétan más ember számát ma már nem egy holdraszálás megszerezni.

Egy kis sidenote mint érdekeség:
(Itthon még azt se tudják megoldani hogy ne tudj telefonszámot hamisítani, és külföldről bejövő hívások meghamisíthatóak mert vannak tranzit cégek akik beengedik az országba a hívást hamis számról is.... Ugye ők a kapcsolásért kapnak pénzt. viszont ezeket a cégeket auditálják. Nem szeretnémrészletezni az audit minőségét mert ha ezt nem veszi észre az audit cég azt nem hívnám audit cégnek. Ha visszaemlékeztek ezért volt anno az OTP csalós ember telefonszáma egy valós UPS kézbesítő telefonszáma. Pontosan ez zörtént hogy az Ő telefonszáma volt meghamisítva külföldről.

Na de nézzük végig részletesen mi történik az ilyen kártya phishing ügyben:

Honnan jön az SMS?

Ehhez sima online szolgáltatásokat használnak, itt egy példa, PW-t direkt maszkoltam hogy mit használtak.
 

SMS service:

https://service.cosmicsms.com/login

Username: haXXXXja

Web password: rlXXXXXXXXXXX5c

API password: b73XXXXXXXXe63

Aztán megkapod a francia telefonszámról az SMS-t ami a következő oldalra visz:

Ez kéri a bankszámla adataidat és a 2FA kódodat is az OTP-hez amit. Azt pedig telegramra küldi ahol a "támadók" felhasználják. Persze van oldal ahol nem kérik az 2FA kódod hanem csak a CVV kódod és azzal próbálnak meg költeni.

HA kéri az 2FA kódot akkor ez történik, (Ez a screenshot a TÁMADÓ gépéről van NEM én léptem be). Ezt látja a támadó azonnal angolra állítja az internetbankot vagy google beépített fordítót használ.

Innen már tudod mi történik.. Utal a nevedben és megnézi milyen személyes infohoz fér még hozzá hiszen rengeteg banknál hozzáférhetsz az account információhoz minden plusz jelszó vagy auth nélkül.

Ha nem ez történik akkor pedig megpróbálják máshova is hozzáadni a kártyád és úgy használni. Példa:

Mit lát a támadó a telegram oldalon hogy jönnek be a logok? (Mielött GDPR huszár szólna jajj az XY IP-je, már rég nem az övéké azok a pool IP címek)

Na de akkor hogy lesz ebből termék hogy fogják a megszerzettadatokat/pénzt tisztára mosni. Jön a vásárlás és hamisítanak hozzá Francia személyi igazolványt és azzal rendelik a terméket is igazolják a "hamis" kilétóket:

Aztán a csomagot ami jön azt elküldik PL Törökországba egy proxy emberhez aki általában eladja a dolgokat és a a pénz nagyrészét elküldi az eredeti phishernek.
Ebben az esetben Ő volt a proxy ember: Mohammed C. Néven és persze megvan a pontos címe is.

Na de akkor kik az igazi tettesek? Kik csinálják a smishinget és phishinget? És Tényleg Franciák?

Nem, nem franciák, de Francia gyarmat. Üdv Morocco-ban. És itt van pár tag fényképe:

több kép:

itt az egyi ktag ID-ja a teloján volt ha jól emlékszem a COVD tesztjéhez kellett neki az ID-t küdleni valahova.

De hol a pénz és csillogás amire a te pénzed költik?

Utazanak pl

Termékeket vesznek: (browser history) (már nem élnek a session-ök ha GDPR huszár szólna, azért se maszkoltam ki őket)

Miért nem jelentem ezt rendőrségnek vagy valakinek?
Van amit jelentek és van amit nem, mert mint említettem van ahol nem az az érdeke a szerveknek hogy elkapják az embert hanem az hogy téged kérdezgessenek ez meg az honnan van meg hogy meg mi meg mit csinálsz. Ennek az ügynek nagyrészét jelentettem de nem a Magyaroknak hanem a Franciáknak. Miért nem a Magyaroknak? , Lásd jó példa erre a UNIX-os hack amiről azért voltak akik tudták hogy meg votlak fertőzve, de ha te odamész szólni hogy "hé izé, a gépeden épp ransomware támadást csinál a Quakbot " (Igen a Quakbot volt bent náluk aki IT céget megbíztak az háttal ült a műsornak) akkor te mész böribe a végén. Ennek itthon nincs kultúrája hogy te segítesz valakinek (INGYEN) és akkor mindenki örül. Itthon mindig az a hibás aki jelenti a problémát és segíteni próbál. Szóval sajnálatos, de hagyni kell süllyedni. Lejelentesz 5000 bankkkártyát vagy egy milliárdos cég fertőzését mit kapsz? Ügyet a nyakadba.
Viszont ezt a phishinges dolgot szerettem volna kitenni csak hogy lássák az emberek hogy kik, hogyan lopják el a pénzüket, és hogy lássátok hogy itt azért elég sok követ meg kell mozgatni ha egy ilyen "nemzetközi" operációt meg akarsz állítani mint hatóság.
 

(Amennyiben bármilyen szinten a HUP adminja nem találja a cikket kompatibilisnek az oldal tartalmával, vagy valami nem okés mert "túl részletes" akkor a cikk nyugodtan törölhető)