Zaloguj się do usług
bezpieczeństwa
1 lipca 2021
Nieprawdziwe PKO i dziwny blog

O domenach i złośliwych/fałszywych treściach, które wpadają do naszych systemów bezpieczeństwa, można by napisać książkę. Dostęp do niektórych uniemożliwiamy już na etapie analizy automatycznej, część trafia do operatorów Security Operations Center, są też takie, z którymi – przynajmniej na początku – nie wiadomo, co zrobić.

Weźmy na przykład domenę hxxps://www.ipko-biznes-log[.]com/. Już sama składnia dość otwarcie sugeruje, że z usługą iPKO nie ma to wiele wspólnego. Rzut okiem na wpis WhoIs tylko to potwierdza:

  • Rejestracja w serwisie NameCheap
  • Dane rejestrującego ukryte ze względów prywatności
  • Adres: Kalkofnsvegur 2, Reykjavik, Islandia (pod tym adresem znajdują się biura na wynajem)

O ile fakt rejestracji domeny kilka dni wcześniej nie musi niepokoić, to powyższe trzy już raczej tak. Przy okazji – jeśli chcielibyście znaleźć inne phishingowe domeny, wystarczy zerknąć na WhoIs pod pozycją Similar Domains.

Dobra, wiemy (czy raczej nie wiemy, możemy się tylko domyślać) kto za tym stoi – spójrzmy zatem może co tam w ogóle jest:

W jednym rogu enigmatyczne „blog biznesowy”, w treści gdzieniegdzie słowo „iPKO”. Brak logotypu marki, ale faktycznie treści o charakterze finansowym. Gdy jednak próbujemy gdziekolwiek kliknąć, okazuje się, że linków... nie ma! Tzn. kilka działa, ale kierują tylko do poszczególnych bloków strony głównej. Wejść w artykuły się nie da, ale okazuje się, że można zajrzeć w regulamin.

Nie dość, że generyczny, to jeszcze bez żadnych nazw, napisany ciurkiem i z tym dziwnym wstępem po... czesku. Okazuje się, że to nie jedyny dysonans językowy, ciekawie robi się, gdy wejdziemy w źródło strony:

Przypadek? Raczej lenistwo. Chyba nawet nie próba skierowania zainteresowanych na niewłaściwe tory. Po prostu twórca witryny korzystał z rosyjskojęzycznych szablonów CSS i albo o tym zapomniał, albo nie chciało mu się zmieniać. Nie byłoby to nic zaskakującego, bowiem za sporą część ostatnich kampanii, celowanych w polskich internautów, odpowiedzialni są właśnie przestępcy ze wschodu. W przypadku opisywanej strony na razie nie wiadomo, co miałoby być zagrożeniem. Jednak fakt, iż zaobserwowaliśmy sporą liczbę podobnych domen, świadczy o tym, że warto uważać. Oszuści rzadko kiedy robią cokolwiek po próżnicy.


Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl