27.01.2018 | 20:32

Adam Haertle

Ciekawe ataki phishingowe na klientów firmy home.pl

W ostatnich dniach obserwujemy rzadko spotykane ataki wycelowane w klientów jednej firmy hostingowej – home.pl. Co ciekawe wygląda na to, że celami ataku są faktycznie aktualni klienci tego dostawcy usług hostingowych.

Z reguły przestępcy działają bardzo oportunistycznie, atakując dziesiątki tysięcy celów naraz, licząc na to, że w grupie docelowej znajdą się np. klienci sieci Play lub mBanku. Prosta matematyka wskazuje, że co najmniej kilka, jak nie kilkanaście procent odbiorców takich wiadomości faktycznie jest klientami firmy, pod którą podszywają się przestępcy. Tym razem jednak najwyraźniej mamy do czynienia z dobrze wycelowanym atakiem – prawdopodobnie na podstawie publicznie dostępnych danych na temat domen i powiązanych z nimi adresów IP.

Dwa przykłady wiadomości

Trafiły do nas dwie podobne wiadomości phishingowe. Pierwsza wyglądała tak:



Napotkaliśmy problemy rozliczeniowe

Drogi Kliencie,
Napotkaliśmy problemy rozliczeniowe.
Tego typu błąd zwykle wskazuje, że Twoja karta kredytowa wygasła lub twoje adres rozliczeniowy jest nieprawidłowy
Kliknij na poniższy link, aby zaktualizować informacje:
https://t.co/NYKukw4G8t?https://panel.home.pl/info@[tunazwadomeny].pl
Pozdrawiam
home.pl

Druga tak:

Domena – 3 dni do wygaśnięcia

Drogi kliencie,
Jest to automatyczna wiadomość przypominająca, że usługa opisana poniżej wygaśnie lub wygasa:
Domeny:
>> Domena [ [tunazwadomeny.pl] – 3 dni do wygaśnięcia <<
Proszę wziąć pod uwagę cykl życia domen i nasze porady dotyczące odnawiania domen, aby uniknąć utraty domeny lub, że odnowienie jest droższe niż zwykle.
DOSTĘP DO ODNOWIENIA USŁUG
Odnowienie można wykonać za pomocą następującego linku:
https://t.co/TwkmqCJPoP?https://panel.home.pl/manager/dedicated/index.html#/billing/[tunazwadomeny].pl
Dziękuję,
home.pl

Analiza

W przypadku pierwszej wiadomości dotyczyła ona domeny, która jest hostowana w home.pl i tamże zarejestrowana. W przypadku drugiej wiadomości wskazana domena jest hostowana w home.pl, lecz jej rejestratorem jest inna firma. Co ciekawe druga domena faktycznie wygasa za ok. tydzień. Obie wiadomości wysłane zostały na konto „info” w danej domenie. Lista odbiorców wskazuje, że atakujący prawdopodobnie dobiera swoje ofiary na podstawie tego, gdzie utrzymywane są witryny powiązane z daną domeną, zamiast wysyłać swoje emaile „na ślepo”. Co ciekawe, ma także różne schematy wiadomości w zależności od tego, czy dana domena wygasa, czy nie. Warto także zauważyć, że tekst wiadomości prawdopodobnie pochodzi z translatora – jest w nim kilka błędów językowych.

Obie analizowane wiadomości zostały wysłane z serwerów Aruba Cloud.

Received: from rdns0.nykos-food.com (217.61.108.227) (HELO nykos-food.com)
Received: from host106-242-177-94.static.arubacloud.fr (94.177.242.106) (HELO nj)

Oba adresy skracacza linków t.co

https://t.co/NYKukw4G8t?https://panel.home.pl/info@[tunazwadomeny].pl
https://t.co/TwkmqCJPoP?https://panel.home.pl/manager/dedicated/index.html#/billing/[tunazwadomeny].pl

prowadzą do strony

http://home.pl.reise-pavillon-gmbh.de/?https://panel.home.pl/

Ta z kolei przekierowuje na

http://aclassproperties.co.uk/pl/?https://panel.home.pl/

gdzie na ofiarę czeka „panel logowania home.pl”

Co ciekawe, zlokalizowaliśmy bardzo podobny adres,

1and1.es.reise-pavillon-gmbh.de

wskazujący, że inna popularna firma hostingowa dwa tygodnie temu także była celem przestępców.

Co jest celem przestępców

To dobre pytanie – nie znamy prawidłowej odpowiedzi. W dobie niezwykle tanich usług hostingowych oraz licznych promocji nie sądzimy, by chodziło o dostęp do usługi. Bardziej prawdopodobne, że atakujących interesują dane ofiar – mogą je np. zaszyfrować i żądać okupu lub szukać w nich innych metod zarobku.

Aktualizacja 2018-01-27 20:30

Jesteśmy sieroty! Kilka minut po opublikowaniu artykułu zorientowaliśmy się, że po podaniu fałszywego loginu i hasła trafiamy na kolejny etap ataku, gdzie w końcu dowiadujemy się, o co chodziło złodziejom.

Celem ewidentnie jest wyłudzenie danych karty kredytowej. Po podaniu danych karty trafiamy na kolejny ekran, gdzie przestępcy proszą o kod 3D Secure.

Wskazuje to, że gdzieś w tle automat prawdopodobnie robi jakieś zakupy z użyciem danych naszej karty – bo inaczej skąd miałby wziąć się SMS w naszym telefonie.

Dziękujemy Czytelnikom, którzy podesłali nam przykłady ataków. Jeśli macie inne próbki lub pomysły, do czego zmierzają przestępcy, dajcie nam znać.

Powrót

Komentarze

  • 2018.01.27 20:48 Misza

    Dane przypuszczalnie mają z whois, mam kilka usług w Home, oczywiście po za domenami i na mnie nie trafiło.

    Odpowiedz
  • 2018.01.27 23:21 1and2equals2

    1and1
    home.pl
    AZ.pl
    – są powiązane właścicielsko.

    Odpowiedz
  • 2018.01.28 10:37 Out

    Hi

    Ja się nie znam na frontendzie, ale czy przypadkiem na stronie home.pl nie brakuje specjalnych nagłówków, które nie pozwalają wyświetlić strony „poza prawidłowa domena” lub w ramce ?

    Odpowiedz
    • 2018.01.31 00:38 grekus

      Taaa, tylko ze to nie jest panel home wyswietlony w ramce, tylko skopiowany/podrobiony wyglad ekranu logowania :)

      Odpowiedz
  • 2018.01.28 15:16 jasc

    Pomijam już nawet zieloną kłódkę – ale jak można być tak głupim, by na stronach z takimi adresami wpisywać jakiekolwiek dane ??! :)

    Odpowiedz
  • 2018.01.28 18:48 Bart

    Przy okazji HOME warto wspomnieć o ich głupich, cyklicznych mejlach „Weryfikacja danych kontaktowych”, gdzie piszą by potwierdzić czy dane są aktualne. Jeśli się kliknie NIE to przekierowuje do HOME, a jak TAK to przekierowuje do ankiet TNS Polska o firmie Home.

    Odpowiedz
  • 2018.01.29 01:16 Marek

    Mogli się lepiej postarać coś w stylu horne.pl czy rnbank.pl. Jak zajęte to .net lub com.pl
    Sporo zwłaszcza starszych niedowidzących mogło by się nabrać. W domyślnej czcionce w przeglądarkach ,r’ z ,n’ zalewa się niemal. O certyfikat też prosto..

    Odpowiedz
  • 2018.01.29 13:38 Werner339

    Witam,

    Drobna uwaga na boku: „oportunistycznie” w języku polskim znaczy co innego (https://sjp.pwn.pl/slowniki/oportunistyczny.html) niż użyto w artykule.

    Pozdrawiam
    Werner

    Odpowiedz
    • 2018.01.29 17:50 Adam

      „przystosowujący się do okoliczności dla doraźnych osobistych korzyści” to dokładnie to znaczenie.

      Odpowiedz
  • 2018.02.01 13:54 Werner

    Ale tam jest „człowiek bez zasad, przystosowujący się do okoliczności dla doraźnych osobistych korzyści”.

    Istotą pojęcia „oportunizm” nie jest jedynie adaptacja do nadarzającej się okazji, ale adaptacja osiągnięta kosztem własnych zasad i przekonań. Jest w pracy zebranie, szef proponuje coś głupiego lub nierealny harmonogram, a ja (wbrew sobie) nie oponuję lub chwalę jego propozycje jako mądre, aby wkupić się w jego łaski. To jest oportunizm.

    Jeśli rozsyłam spam i czekam na okazję (zależnie kto odpowie na maila), a później dostosowuję do tego dalszą taktykę – działam adaptacyjnie.

    Pozdrawiam
    Werner

    Odpowiedz

Zostaw odpowiedź do grekus

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ciekawe ataki phishingowe na klientów firmy home.pl

Komentarze