מתקפת פישינג חדשה מדגימה כלי חדש שתוקפים משתמשים בו כדי להזיק

אל תעשו כלים יפים באינטרנט, כל הערסים יבואו

גרסה ערוכה ומוצלחת יותר פרסמה מוקדם יותר ב׳הארץ׳.

מה זה פישינג? טוב, כולנו מכירים את השיט הזה. s_h, שהוא חוקר אבטחה ואיתו אני מדבר בדרך כלל בטלגרם, שלח לי מתקפת פישינג מעניינת. למה מעניינת? פחות בגלל הפישינג, יותר בגלל איך שמממשים את הפישינג הזה ואני מת על השטויות האלו, אז למה לא לכתוב באתר?

בגדול, הכל מתחיל ממייל מזויף שנשלח בתפוצה רחבה ביותר. איך המייל נראה? ככה:

אנא עדכן את הפרטים שלך מיד עם מספר המקרה שלך 564351163 נראה שחלק מהמידע בחשבונך חסר או שגוי אנא עדכן את המידע שלך באופן מיידי כדי שתוכל להמשיך ליהנות מכל היתרונות של חשבון הברק שלך אם לא תעדכן את המידע שלך בתוך יומיים, נשעה באופן זמני את חשבון בזק שלך. לחץ על הקישור שלהלן — מייל פישינג

הכתובת מובילה לאתר bezeqq.fwd.wf/htdocscccccccccccccccccc – כמו כל אתר פישינג שמכבד את עצמו, יש דמיון לשם המתחם של נשוא המתקפה – במקרה הזה בזק. וכמובן שמי שלוחץ על הקישור מקבל 'עידוד' להכניס את הפרטים שהתוקף ממש ממש רוצה. במקרה הזה: כרטיס אשראי.

הפרטים כמובן לא נשלחים לבזק אלא לדף PHP על השרת שכנראה שולח מייל לתוקף עם הפרטים. איך אני יודע שדף ה-PHP שולח את פרטי כרטיסי האשראי לתוקפים ולא מציב אותם ב-MySQL זה או אחר? הו הו הו, מיד אספר.

הבעיה הכי גדולה בלתכנן מתקפת פישינג היא איפה לשים את האתר המזויף. הרי בשרת לגיטימי שעולה כסף אני לא אוכל להציב אותו. פתרון? שרת פרוץ – שזו בעיה כי צריך למצוא אחד כזה. פתרון נוסף הוא אתר חינמי. מה הבעיה עם אתרים חינמיים? בגלל שכל הפורצים בעולם משתמשים בהם, יש להם מחלקות abuse ממש ממש מהירות. וגם נעשית סריקה של הקבצים שמועלים אליהם. נסו לבנות אתר פישינג לשרת מוכר בבלוגספוט ותראו שתחסמו בלי שבלוגספוט יקבלו דיווח אחד אפילו.

הפתרון החדש שתוקפים מצאו הוא (כרגיל) הרבה גאוני וקצת מטומטם. על שירות forwardhq שמעתם? מדובר בשירות ממש חמוד שמאפשר לעשות tunneling מכתובת שלהם למחשב מקומי אצלך. למה זה טוב? אם אתה מפתח אתר או אפליקציה על שרת פיתוח שלך, אתה יכול לעשות לו הפניה מאתר חיצוני ולשלוח ללקוח (למשל). מה שהתוקפים עשו, הוא לעשות חשבון ניסיון לשירות הזה ואז לנתב את הכתובת שהם ייצרו למחשב מקומי שיש עליו xamp שזה שרת Apache עם PHP שמאפשר לשים עליו אתר פרוץ.

איך אני יודע? כי ה-phpinfo של האתר של התוקפים היה גלוי MUHAHAHAHA

וככה אני יודע שאין MySQL מותקן על השרת הזה. וכן, יש גם גישה ל-PHPMyAdmin שנופל בגלל שאין שרת שמותקן שם.

בגלל זה מדובר בפתרון גאוני מצד אחד – כי באמת אפשר לעלות כל שיט שרוצים באמצעות הדבר הזה. ומטומטם מהצד השני – אלא אם כן משתמשים במחשב ביתי פרוץ.

כך או אחרת, דיווחתי ל-abuse של החברה ובא לציון גואל. אבל מה? זו עוד דוגמה למה אין לנו דברים יפים. צק צק צק. רואים אתר פישינג שנגמר ב-fw? דווחו עליו ל-abuse של forwardhq.

ושוב תודה ל s_h שדיווח וסייע. יש לכם גם דברים מעניינים? אני בטלגרם: interil. תודו שזה מקורי.

אהבתם את התוכן שלי? נסו את ספרי הלימוד שלי

פרויקט ספרי לימוד התכנות שלי עם אלפי קוראים ותמיכה של חברות מובילות נועד לאפשר לכל אחד ואחת ללמוד תכנות מעשי

לחצו כאן

ללמוד תכנות בעברית

ללמוד תכנות מעשי מאפס, בעברית ובקלות עם הספר שלי ״ללמוד ג׳אווהסקריפט בעברית״

לחצו כאן

רן בר-זיק

ארכיטקט תוכנה בכיר בסייברארק, עיתונאי טכנולוגיה בעיתון דה מרקר, מרצה בקריה האקדמית אונו ואוניברסיטת חיפה, אב לארבעה ילדים.

3 תגובות

שמעיה הגיב:

אוקטובר 21, 2018 בשעה 2:00 pm

מעניין,
איך ידעת למצוא בroute הזה את הphpinfo?
הlist של הקבצים בroot של האתר היה מאופשר מבחינת השרת?

הגב
- רן בר-זיק הגיב:
  
  אוקטובר 21, 2018 בשעה 2:48 pm
  
  וואי, שכחתי לכתוב. אתה תמות מצחוק. שים לב – כשמתקינים xamp יש לך בעמוד הראשי קישורים גם לדף שמדפיס את ה phpinfo וגם קישור ל phpmyadmin. ה-list לא היה מאופשר כי בחייאת, יש גבול לכל חובבנות 🙂
  
  הגב
jon&sury הגיב:

נובמבר 11, 2018 בשעה 5:52 pm

רן בר זיק: אתה אדם מאד נחמד
נ.ב. תזהר אתה קורא מייל של מתות כי מתנו מרוב צחוק

הגב