Masz domenę w OVH – uważaj!

Update 20/01, 12:23 – dodany screen maila i nowe domeny

Od rana obserwujemy zmasowaną kampanię phishingową na posiadaczy domen w hostowni OVH. Nasze systemy wyłapały phishingowe domeny, a chwilę po publikacji na naszą prośbę jeden z czytelników przysłał nam maila, od którego wszystko się zaczyna:

W treści znane socjotechniczne sztuczki: wygasa Twoja domena (czytelnik faktycznie jest właścicielem domeny, której dotyczył mail, ale ta wygasa dopiero za niemal rok), przedłuż natychmiast, bo jak nie, to po dwóch dniach ją usuniemy. A sam link akurat w tym przypadku ukrył się za mechanizmem Safelinks Microsoft Defender for Office 365. Docelowo dekoduje się na tak hxxp://renew-ovhdomain-[hash][.]viakeralatravels.com/?serv=[nazwa_domeny]&manager/reglement/invoice.php&n=[hash].

Co widać na fałszywej stronie?

Czyli motywem jest (rzekomo?) wygasająca domena i umieszczone na stronie bliźniaczo przypominającej witrynę OVH okno do wpisania danych karty. Jeśli to zrobimy – pieniądze z karty faktycznie znikną, ale nie 41,43 PLN tylko wszystkie.

Wg. naszych danych spora część phishingowych osadzona jest na IP 156.59.195.133 oraz 107.155.49.194. Jeśli administrujesz siecią, warto zablokować wildcard *.chefs-kitchen.co.uk/ oraz *.viakeralatravels.com – tam bowiem, na przejętych stronach, znajdują się niemal wszystkie adresy, prowadzące do fałszywego panelu.