אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » מתקפת פישינג חדשה מדגימה כלי חדש שתוקפים משתמשים בו כדי להזיק

מתקפת פישינג חדשה מדגימה כלי חדש שתוקפים משתמשים בו כדי להזיק

רן בר-זיק אוקטובר 21, 2018 1:31 pm 3 תגובות

אל תעשו כלים יפים באינטרנט, כל הערסים יבואו

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

גרסה ערוכה ומוצלחת יותר פרסמה מוקדם יותר ב׳הארץ׳.

מה זה פישינג? טוב, כולנו מכירים את השיט הזה. s_h, שהוא חוקר אבטחה ואיתו אני מדבר בדרך כלל בטלגרם, שלח לי מתקפת פישינג מעניינת. למה מעניינת? פחות בגלל הפישינג, יותר בגלל איך שמממשים את הפישינג הזה ואני מת על השטויות האלו, אז למה לא לכתוב באתר?

בגדול, הכל מתחיל ממייל מזויף שנשלח בתפוצה רחבה ביותר. איך המייל נראה? ככה:

אנא עדכן את הפרטים שלך מיד עם מספר המקרה שלך 564351163 נראה שחלק מהמידע בחשבונך חסר או שגוי אנא עדכן את המידע שלך באופן מיידי כדי שתוכל להמשיך ליהנות מכל היתרונות של חשבון הברק שלך אם לא תעדכן את המידע שלך בתוך יומיים, נשעה באופן זמני את חשבון בזק שלך. לחץ על הקישור שלהלן
מייל פישינג

הכתובת מובילה לאתר bezeqq.fwd.wf/htdocscccccccccccccccccc – כמו כל אתר פישינג שמכבד את עצמו, יש דמיון לשם המתחם של נשוא המתקפה – במקרה הזה בזק. וכמובן שמי שלוחץ על הקישור מקבל 'עידוד' להכניס את הפרטים שהתוקף ממש ממש רוצה. במקרה הזה: כרטיס אשראי.

  • בזק אתר פישינג מטרה

הפרטים כמובן לא נשלחים לבזק אלא לדף PHP על השרת שכנראה שולח מייל לתוקף עם הפרטים. איך אני יודע שדף ה-PHP שולח את פרטי כרטיסי האשראי לתוקפים ולא מציב אותם ב-MySQL זה או אחר? הו הו הו, מיד אספר.

הבעיה הכי גדולה בלתכנן מתקפת פישינג היא איפה לשים את האתר המזויף. הרי בשרת לגיטימי שעולה כסף אני לא אוכל להציב אותו. פתרון? שרת פרוץ – שזו בעיה כי צריך למצוא אחד כזה. פתרון נוסף הוא אתר חינמי. מה הבעיה עם אתרים חינמיים? בגלל שכל הפורצים בעולם משתמשים בהם, יש להם מחלקות abuse ממש ממש מהירות. וגם נעשית סריקה של הקבצים שמועלים אליהם. נסו לבנות אתר פישינג לשרת מוכר בבלוגספוט ותראו שתחסמו בלי שבלוגספוט יקבלו דיווח אחד אפילו.

הפתרון החדש שתוקפים מצאו הוא (כרגיל) הרבה גאוני וקצת מטומטם. על שירות forwardhq שמעתם? מדובר בשירות ממש חמוד שמאפשר לעשות tunneling מכתובת שלהם למחשב מקומי אצלך. למה זה טוב? אם אתה מפתח אתר או אפליקציה על שרת פיתוח שלך, אתה יכול לעשות לו הפניה מאתר חיצוני ולשלוח ללקוח (למשל). מה שהתוקפים עשו, הוא לעשות חשבון ניסיון לשירות הזה ואז לנתב את הכתובת שהם ייצרו למחשב מקומי שיש עליו xamp שזה שרת Apache עם PHP שמאפשר לשים עליו אתר פרוץ.

איך אני יודע? כי ה-phpinfo של האתר של התוקפים היה גלוי MUHAHAHAHA

phpinfo של אתר פרוץ

וככה אני יודע שאין MySQL מותקן על השרת הזה. וכן, יש גם גישה ל-PHPMyAdmin שנופל בגלל שאין שרת שמותקן שם.

בגלל זה מדובר בפתרון גאוני מצד אחד – כי באמת אפשר לעלות כל שיט שרוצים באמצעות הדבר הזה. ומטומטם מהצד השני – אלא אם כן משתמשים במחשב ביתי פרוץ.

כך או אחרת, דיווחתי ל-abuse של החברה ובא לציון גואל. אבל מה? זו עוד דוגמה למה אין לנו דברים יפים. צק צק צק. רואים אתר פישינג שנגמר ב-fw? דווחו עליו ל-abuse של forwardhq.

ושוב תודה ל s_h שדיווח וסייע. יש לכם גם דברים מעניינים? אני בטלגרם: interil. תודו שזה מקורי.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע חדשות אינטרנט

3 תגובות

  1. שמעיה הגב אוקטובר 21, 2018 בשעה 2:00 pm

    מעניין,
    איך ידעת למצוא בroute הזה את הphpinfo?
    הlist של הקבצים בroot של האתר היה מאופשר מבחינת השרת?

    • רן בר-זיק הגב אוקטובר 21, 2018 בשעה 2:48 pm

      וואי, שכחתי לכתוב. אתה תמות מצחוק. שים לב – כשמתקינים xamp יש לך בעמוד הראשי קישורים גם לדף שמדפיס את ה phpinfo וגם קישור ל phpmyadmin. ה-list לא היה מאופשר כי בחייאת, יש גבול לכל חובבנות 🙂

  2. jon&sury הגב נובמבר 11, 2018 בשעה 5:52 pm

    רן בר זיק: אתה אדם מאד נחמד
    נ.ב. תזהר אתה קורא מייל של מתות כי מתנו מרוב צחוק

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד