Ho appena ricevuto un messaggio di testo di phishing, come ha funzionato?

2

Ho ricevuto un messaggio di testo di phishing che faceva finta di essere la mia banca. Aveva un link che è andato a un sito che reindirizza al seguente script:

<html><script language="javascript">var page = "Login.php?sslchannel=true&sessionid=XXX”; top.location = page; </script></html>

Quando ho fatto un wget su quella pagina con il resto dell'URL completo, ho eseguito il seguente script:

<script>
    window.googleJavaScriptRedirect = 1
</script>
<script>
    var n = {
        navigateTo: function(b, a, d) {
            if (b != a && b.google) {
                if (b.google.r) {
                    b.google.r = 0;
                    b.location.href = d;
                    a.location.replace("about:blank");
                }
            } else {
                a.location.replace(d);
            }
        }
    };
    n.navigateTo(window.parent, window, "https://www.banksite.com/");
</script><noscript><META http-equiv="refresh" content="0;URL='https://www.banksite.com/'"></noscript>

Da un punto di vista tecnico, sto cercando di capire cosa potrebbe aver fatto questo testo di phishing nello scenario peggiore.

    
posta mergesort 17.05.2017 - 03:42
fonte

2 risposte

2

Per indagare su ciò che un server Web intrappolato potrebbe provare a fare sul tuo sistema, dovrai fingere di essere uno dei principali browser di destinazione: Internet Explorer .

Con wget e curl questo reverse engineering di attacco può essere condotto con l'uso dell'argomento --user-agent . Ecco un esempio tipico:

wget --user-agent "Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"

Ecco uno dei Web di riferimento facile in cui è possibile ottenere altri user-agent validi da testare in questo reverse engineering di attacco:

Stringa agente utente

Come regola di protezione di base, ti consiglio di eseguire questi test in un ambiente utente dedicato che non rischierà nulla a livello di sistema ea livello di rete. Per questo, crea un nuovo utente ad hoc che non è privilegiato e che non è noto su nessuno dei tuoi server di directory ( LDAP o AD ) in modo da evitare qualsiasi attacco laterale creando un utente di accesso di grandi dimensioni su altri sistemi .

    
risposta data 18.06.2017 - 15:58
fonte
0

Il punto è l'URL mancante in "var page=" /Login.php?sslchannel=true& "- per un esempio vedi questo sito di segnalazione di sicurezza: link

Questo URL falso o di phishing farà finta di essere un vero sito di banca o di accesso a una nuvola di Apple o paypal. Dopo aver digitato le tue credenziali, farà finta di essere un errore e ti reindirizzerà alla tua vera banca o altro.

Un altro punto è che questo sito web è in grado di darti risposte diverse a seconda del tuo referrer e del tuo agente utente (ad esempio se usi wget otterrai un altro risultato se utilizzi un Internet Explorer). Lo script che hai scaricato sembra ok finora (solo il solito google-riscrittura per tenere traccia delle tue ricerche).

Lo scenario peggiore sta perdendo le tue credenziali bancarie e il tuo denaro o ottieni un trojaner tramite un exploit del browser e il trojaner ti ruba la password e distrugge tutta la tua vita digitale (foto, documenti, accessi, acquisti) ...

    
risposta data 19.05.2017 - 00:34
fonte

Leggi altre domande sui tag