Phishing у покушају
29.03.2021Данас ме је изненадио мејл који је на први поглед стигао од cPanel-а, фирме која одржава истоимени софтвер, а који користи мој хостинг провајдер. Међутим, тај мејл је такав само на први поглед. Сва срећа па ја користим neomutt, а не веб апликацију за Gmail или неки од мање безбедних клијената за мејл. Ево, дакле, примера зашто је боље користити програме из командне линије за ГНУ са Линуксом.
Чак иако занемаримо чињеницу да су мејлови у вези са GDPR-ом изашли из моде пре једно две-три године, постоји више сумњивих ствари које нису одмах очите у вези са овим мејлом. Прво, адреса са које је послат није ни са cPanel-овог домена, нити са домена мог хостинг провајдера. Друго, да се ради о правом мејлу, не би се тражило да „find the attachment file“ („‘пронађем’ фајл са прилогом“). Даље, у HTML коду поруке постоје скривени линкови који упућују на домен Yahoo mail-а, а прилог је назван „Update our privacy policy.html“. Дакле, update-оваћу њихову политику приватности! /s
Када се овај .html прилог отвори (прослеђујући га програму less(1)), може се видети следеће:
Ово је ништа друго него УРЛ кодиран HTML код, сакривен позивом JavaScript
функције unescape()
. Пошто ме је ово даље заинтригирало, убацио сам тај код у
један од сајтова који нуде unescape. Резултат је следећи:
Овде видимо више сумњивих ствари: слику која је хостована на Imgur-у, формулар који се шаље на канадски сајт коме се чак ни не приступа преко HTTPS-а, слику са сајта за логое Logonoid, и опет текст који врло очито није саставила особа са енглеског говорног подручја: „update our privacy policy to your hosting portal“. Вероватно су мислили на „website“, а глагол који су вероватно желели да употребе је apply!