//strahinja.org

Phishing у покушају

29.03.2021

Данас ме је изненадио мејл који је на први поглед стигао од cPanel-а, фирме која одржава истоимени софтвер, а који користи мој хостинг провајдер. Међутим, тај мејл је такав само на први поглед. Сва срећа па ја користим neomutt, а не веб апликацију за Gmail или неки од мање безбедних клијената за мејл. Ево, дакле, примера зашто је боље користити програме из командне линије за ГНУ са Линуксом.

Слика: phishing мејл #1

Чак иако занемаримо чињеницу да су мејлови у вези са GDPR-ом изашли из моде пре једно две-три године, постоји више сумњивих ствари које нису одмах очите у вези са овим мејлом. Прво, адреса са које је послат није ни са cPanel-овог домена, нити са домена мог хостинг провајдера. Друго, да се ради о правом мејлу, не би се тражило да „find the attachment file“ („‘пронађем’ фајл са прилогом“). Даље, у HTML коду поруке постоје скривени линкови који упућују на домен Yahoo mail-а, а прилог је назван „Update our privacy policy.html“. Дакле, update-оваћу њихову политику приватности! /s

Када се овај .html прилог отвори (прослеђујући га програму less(1)), може се видети следеће:

Слика: HTML прилог
Слика: HTML прилог

Ово је ништа друго него УРЛ кодиран HTML код, сакривен позивом JavaScript функције unescape(). Пошто ме је ово даље заинтригирало, убацио сам тај код у један од сајтова који нуде unescape. Резултат је следећи:

Слика: код из HTML прилога
Слика: код из HTML прилога

Овде видимо више сумњивих ствари: слику која је хостована на Imgur-у, формулар који се шаље на канадски сајт коме се чак ни не приступа преко HTTPS-а, слику са сајта за логое Logonoid, и опет текст који врло очито није саставила особа са енглеског говорног подручја: „update our privacy policy to your hosting portal“. Вероватно су мислили на „website“, а глагол који су вероватно желели да употребе је apply!