• Roman Sologub

Фішинг аккаунтів DHL

Сьогодні ми розглянемо приклад елементарного фішингу з реальної практики. Проаналізуємо наступний лист:

Як видно зі скріншоту, у вкладенні у нас є htm сторінка, яку пропонується завантажити «одержувачу посилки», який нічого не підозрює.

Всередині цього документа можна побачити код JS, який містить певне закодоване за допомогою функції escape строкове значення в форматі Юнікод:

Для декодування цього фрагмента можна скористатися, наприклад, таким ресурсом:

http://scriptasylum.com/tutorials/encode-decode.html

Після декодування стає очевидно, що це ще не кінець, і текст все ще закодований, але на цей раз за допомогою base64:

Розкодуємо і його. У підсумку отримуємо код сторінки, яка, запускаючись локально, імітує офіційну сторінку компанії DHL - і явно підходить під мета збору емейлів і паролів від DHL акаунтів:

Серед іншого в тілі цієї сторінки є посилання на ресурс:

При спробі зайти на цей ресурс, відразу відбувається редирект на сайт DHL, щоб користувач, перевіряючи посилання в браузері, нічого не запідозрив і зміг переконатися, в тому, що дійсно знаходиться на сайті DHL:

Судячи з трафіку, йде post з передачею пароля і емейла, який ми вводимо на фальшивій сторінці, а потім, як і очікувалося, йде редирект на сам сайт DHL.

Так що перед нами дійсно фішинг DHL акаунтів. 

Залишається тільки поставити дане посилання в блок на фаєрвол і ще раз нагадати користувачам уважно перевіряти посилання, за якими у них запитують паролі.

0 views
arrow&v

ვაშინგტონი
1300 I Street NW
400E, ვაშინგტონი
კოლუმბიის რაიონი,
20005
+1 202 749 8432

კიევი
10/14 რედისჩევის ქ., კიევი
უკრაინა,
03124
+380 44 594 8018

თბილისი
33 ბ, ილია ჭავჭავაძის გამზირი, 0179, თბილისი,
საქართველო

+995 32 224 0366

ვროცლავი
გრაბარსკის ქ.
1, 50-079 ვროცლავი,
პოლონეთი

+48 71 747 8705

ალმაატი
808V, შევჩენკოს ქ. 165B, 050009 ალმაატი,
ყაზახეთი

+7 727 341 0024

i n f o @ i s s p . c o m

© 2020 by ISSP - Information Systems Security Partners