Dziwna „farma aliasów”
Każdego tygodnia przez nasze CERTowe sita przesiewają się setki stron phishingowych. Gdy regularnie wrzuca się kolejne phishingowe domeny do mechanizmu chroniącego Was przed ich otwarciem, łatwo zauważyć pewne powtarzające się schematy…
Jakiś czas temu zauważyliśmy sporo witryn z treścią w formacie porwanie/fake news. Wyjątkowo często pojawiały się w domenie *.24.eu. Wejście na tę witrynę, mimo niemieckojęzycznego interfejsu, wskazuje, iż praktycznie 100% utrzymanych na niej aliasów to polskie strony:
- phishingowe
- z podejrzanymi „loteriami” (na rzekome kupony z sieci handlowych, bądź popularne smartfony
- witryny podszywające się pod Facebooka, kopiujące ekran logowania do tego serwisu i wykradające wpisane dane
O ile 24.eu wydaje się być legalnym przedsięwzięciem, po prostu wykorzystywanym przez przestępców, czy też nieuczciwych graczy, 00x.pl to już miejsce znacząco bardziej… Hmm, anglojęzyczni określają takie biznesy zwrotem „shady”. Witryna napisana w prostym, przypominającym początki internetu HTMLu, pozwalająca za darmo na rejestrację krótkich, łatwych do zapamiętania – a w jednym przypadku do złudzenia przypominającym domenę jednego z dużych hosterów – aliasów. Według statystyk na stronie, 79 witryn zanotowało w momencie pisania tego tekstu ponad 207 tysięcy prób wejść. O ile whois dla aliasów w domenie .pl nie ujawnia danych właścicieli, to dla zarejestrowania domeny .eu takie informacje należy już podać. I tu ciekawostka – każdy z aliasów zarejestrowany jest na inną osobę lub firmę i nie wydaje się, by łączyła je lokalizacja, personalia, czy branża! Jedyną metodą kontaktu jest formularz, w treści stron brak jakiejkolwiek informacji o właścicielu serwisu, a regulamin… cóż, nie przypomina żadnego sensownego regulaminu.
Na pewno warto być ostrożnym. Jeśli administrujecie mniejszą lub większą siecią, albo po prostu chcecie uniknąć phishingu – zajrzyjcie na 00x.pl, zerknąć na listę wypisanych tam domen, i zastanówcie się, czy chcecie zwracać na nie szczególną uwagę.
