Honeypotom kellemes esti szórakozást dobott fel egy phissing levél képében. A levelező szerverem adminja tájékoztatott, hogy 7 levelem van visszatartva és klikkeljek a lenti linkre:
https://secure-web.cisco.com/1aur891QxqfxRaoPbe2SixJVRc1OGSqy0cvne9f52k…
Lévén a levelező szerveremnek én vagyok az adminja és a melóhelyen még nem szívtam annyi hidrazint, hogy magammal levelezzek, utánatúrtam a linknek.
A dolog innen kezdve a klasszikus pingpongos, javascriptes átküldözgetéses történetbe torkollik, ami a grillráccsos hosttól a tinyurl-en keresztül egy https://u64.rspglmb.org/sec oldalra landol, ami szintén egy faék egyszerű javascriptes oldallal próbálja behúzni a emailünkhöz tartozó jelszót.
A dologban nincs újdonság, egyedül az induló link csomagolása.
- 506 megtekintés
Hozzászólások
A dologban nincs újdonság, egyedül az induló link csomagolása.
Na, de a link, amit küldtél, az egy CISCO szoftver által újraírt weboldal címe, nálatok a cégnél van ilyen? Mert akkor annyi történt, hogy a Secure Web követi a kattintást és kapsz egy redirect-et rajta keresztül...
- A hozzászóláshoz be kell jelentkezni
Nincs. Ez egy kívülről érkezett levél, abban a formában, ahogy a szerver elkapta. Az okosság, hogy az induló oldal linkjét átfuttatták a secure-weben és úgy ágyazták be, hogy megbízhatónak tűnjön. Ahogy a hup-is, a levelező programok többsége elrejti betüsalátát, ezért Micike csak a link elejét látja. Katint, mert a cisco nagyon megbízható jóság, a kétszeres redirektet meg észre sem veszi és csak egy webmailhez hasonló bejelenkező oldalt kap, amit meg rutinból kitölt.
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
"egy webmailhez hasonló bejelenkező oldalt kap, amit meg rutinból kitölt"
Ez továbbra is PEBKAC. Micikének egy alapszintű oktatás kellene, hogy értelmezni tudja mi van a böngésző címsorában.
- A hozzászóláshoz be kell jelentkezni
Az okosság, hogy az induló oldal linkjét átfuttatták a secure-weben és úgy ágyazták be, hogy megbízhatónak tűnjön.
Az csak úgy nem megy, hogy fogják és átfuttatják rajta, az egy cégnek egy aktív előfizetése és be kell ahhoz bekonfigurálni jól, hogy "átfuttassák" és a Cisco linket is adjon hozzá...
- A hozzászóláshoz be kell jelentkezni
Látom kezded kapizsgálni a linkben rejlő okosságot.
Vagy hozzáfértek egy cégnek az előfizetéséhez. Vagy maguk fizettek elő. Vagy találtak egy hibát a secure-web rendszerében.
A lényeg, hogy a fenti link működik.
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
Szójáték a piss-re, kifejezendő, azon kívánságom, hogy farfekvéses sünöket ürítsen az ilyennel szórakozó...
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
Ma megjött a levél párja.
A levél text törzsébe nem sikerült a scriptnek a célszerver és a célemail szövegét illesztenie, helyette megkaptam a script változóneveit.
A html rész jó, viszont az ugróoldal yesware.com lett. Ez azér cuki, mert ez a termék egy tömeges email küldésre szolgáló cucc, amit egyetemek és salesesek használnak és megint egy kilométeres karaktersaláta végére van az első átirányítás bepakolva.
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni