Ciekawe ataki phishingowe na klientów firmy home.pl

dodał 27 stycznia 2018 o 20:32 w kategorii Socjo  z tagami:
Ciekawe ataki phishingowe na klientów firmy home.pl

(źródło: Nomadic Lass)

W ostatnich dniach obserwujemy rzadko spotykane ataki wycelowane w klientów jednej firmy hostingowej – home.pl. Co ciekawe wygląda na to, że celami ataku są faktycznie aktualni klienci tego dostawcy usług hostingowych.

Z reguły przestępcy działają bardzo oportunistycznie, atakując dziesiątki tysięcy celów naraz, licząc na to, że w grupie docelowej znajdą się np. klienci sieci Play lub mBanku. Prosta matematyka wskazuje, że co najmniej kilka, jak nie kilkanaście procent odbiorców takich wiadomości faktycznie jest klientami firmy, pod którą podszywają się przestępcy. Tym razem jednak najwyraźniej mamy do czynienia z dobrze wycelowanym atakiem – prawdopodobnie na podstawie publicznie dostępnych danych na temat domen i powiązanych z nimi adresów IP.

Dwa przykłady wiadomości

Trafiły do nas dwie podobne wiadomości phishingowe. Pierwsza wyglądała tak:



Napotkaliśmy problemy rozliczeniowe

Drogi Kliencie,
Napotkaliśmy problemy rozliczeniowe.
Tego typu błąd zwykle wskazuje, że Twoja karta kredytowa wygasła lub twoje adres rozliczeniowy jest nieprawidłowy
Kliknij na poniższy link, aby zaktualizować informacje:
https://t.co/NYKukw4G8t?https://panel.home.pl/info@[tunazwadomeny].pl
Pozdrawiam
home.pl

Druga tak:

Domena – 3 dni do wygaśnięcia

Drogi kliencie,
Jest to automatyczna wiadomość przypominająca, że usługa opisana poniżej wygaśnie lub wygasa:
Domeny:
>> Domena [ [tunazwadomeny.pl] – 3 dni do wygaśnięcia <<
Proszę wziąć pod uwagę cykl życia domen i nasze porady dotyczące odnawiania domen, aby uniknąć utraty domeny lub, że odnowienie jest droższe niż zwykle.
DOSTĘP DO ODNOWIENIA USŁUG
Odnowienie można wykonać za pomocą następującego linku:
https://t.co/TwkmqCJPoP?https://panel.home.pl/manager/dedicated/index.html#/billing/[tunazwadomeny].pl
Dziękuję,
home.pl

Analiza

W przypadku pierwszej wiadomości dotyczyła ona domeny, która jest hostowana w home.pl i tamże zarejestrowana. W przypadku drugiej wiadomości wskazana domena jest hostowana w home.pl, lecz jej rejestratorem jest inna firma. Co ciekawe druga domena faktycznie wygasa za ok. tydzień. Obie wiadomości wysłane zostały na konto „info” w danej domenie. Lista odbiorców wskazuje, że atakujący prawdopodobnie dobiera swoje ofiary na podstawie tego, gdzie utrzymywane są witryny powiązane z daną domeną, zamiast wysyłać swoje emaile „na ślepo”. Co ciekawe, ma także różne schematy wiadomości w zależności od tego, czy dana domena wygasa, czy nie. Warto także zauważyć, że tekst wiadomości prawdopodobnie pochodzi z translatora – jest w nim kilka błędów językowych.

Obie analizowane wiadomości zostały wysłane z serwerów Aruba Cloud.

Oba adresy skracacza linków t.co

prowadzą do strony

Ta z kolei przekierowuje na

gdzie na ofiarę czeka „panel logowania home.pl”

Co ciekawe, zlokalizowaliśmy bardzo podobny adres,

wskazujący, że inna popularna firma hostingowa dwa tygodnie temu także była celem przestępców.

Co jest celem przestępców

To dobre pytanie – nie znamy prawidłowej odpowiedzi. W dobie niezwykle tanich usług hostingowych oraz licznych promocji nie sądzimy, by chodziło o dostęp do usługi. Bardziej prawdopodobne, że atakujących interesują dane ofiar – mogą je np. zaszyfrować i żądać okupu lub szukać w nich innych metod zarobku.

Aktualizacja 2018-01-27 20:30

Jesteśmy sieroty! Kilka minut po opublikowaniu artykułu zorientowaliśmy się, że po podaniu fałszywego loginu i hasła trafiamy na kolejny etap ataku, gdzie w końcu dowiadujemy się, o co chodziło złodziejom.

Celem ewidentnie jest wyłudzenie danych karty kredytowej. Po podaniu danych karty trafiamy na kolejny ekran, gdzie przestępcy proszą o kod 3D Secure.

Wskazuje to, że gdzieś w tle automat prawdopodobnie robi jakieś zakupy z użyciem danych naszej karty – bo inaczej skąd miałby wziąć się SMS w naszym telefonie.

Dziękujemy Czytelnikom, którzy podesłali nam przykłady ataków. Jeśli macie inne próbki lub pomysły, do czego zmierzają przestępcy, dajcie nam znać.