Kierunkowy phishing na klientów Home.pl

Uważajcie, jeśli macie domenę w Home.pl! Od kilku dni przestępcy polują właśnie na Was, usiłując przekonać Was do kliknięcia fałszywego linku do płatności. To wyjątkowo dobrze i umiejętnie przygotowany tzw. spear phishing. Co ciekawe, ofiarami pierwotnego phishingu mieli być klienci Nazwa.pl, ale wygląda na to, że przestępcy po jakimś czasie zmienili zdanie/plany.

O ile zwykły phishing może się kojarzyć z wysyłanym w setkach tysięcy mailami, z nadzieją, że któraś z ofiar da się oszukać, tu mamy do czynienia z phishingiem ukierunkowanym na konkretne ofiary (spear phishing, od angielskiego spear, oznaczającego włócznię).

Przestępcy wysyłają informacje do użytkowników faktycznie mających domeny, zarejestrowane w home.pl, co potwierdzają wpisy w rejestrach DNS. Co prawda terminy wygaśnięcia domen, podane przez oszustów, nie mają nic wspólnego z faktycznymi, ale sami przyznajcie – kto z Was pamięta co do dnia (miesiąca?) kiedy kończy się ważność jego domeny?

Pod linkiem, wyglądającym jak prowadzący do panelu płatności, kryły się dwa (w przypadku naszych próbek) adresy:

hxxps://aperytime.it/[nazwa_domeny]
hxxps://9nta.com/[nazwa_domeny]

Po ich kliknięciu przekierowywani byliśmy na fałszywą bramkę płatności, hxxps://payhome-pl-d71e1eaa.vmkfz.at/. Adresy witryn docelowych to generowane losowo subdomeny, inne dla każdej faktycznej domeny, której dotyczył atak. Co ciekawe, końcowe domeny, na których były umieszczone fałszywe bramki płatności to witryny dawno przejęte przez przestępców, liczące nawet 15 lat (!).

Uważajcie na siebie. Najeżdżajcie (nie tylko jeśli macie domeny w home.pl!) kursorem na link i sprawdzajcie jego faktyczną treść zanim klikniecie, przede wszystkim jeśli mail wydaje się choć trochę podejrzany.