Phishingi na Office365, DPD i Pocztę Polską

Analizując nawet najprostsze maile phishingowe można trafić na ciekawe rzeczy (i zareagować, zanim wykorzystają je przestępcy). Tym razem zaczynając od prostackiego phishingu wpadliśmy na serię domen, gotowych do wykorzystania w kampanii podszycia pod Pocztę Polską.

Zaczęło się od maila:

Schemat, znany, używany wielokrotnie, na wygasające hasło. Prosty, wręcz prostacki:

• Newrest.eu to adres globalnego lidera w zakresie cateringu, m.in. na pokładach samolotów
• Funani Mkhwanazi (w zasadzie Hilda Funani Mkhwanazi) istnieje, ale jest… wicedyrektorką departamentu badań w Urzędzie Miasta w Johanessburgu
• Żadne z powyższych nie ma nic wspólnego z naszym działem IT 🙂
• Zostawienie na dole stopki Newrestu zupełnie psuje podstęp

No i podkreślone na czerwono, żeby KONIECZNIE użyć tego samego hasła!

Co się dzieje po kliknięciu? Niestety strona przygotowana specjalnie dla naszej koleżanki szybko zniknęła, ale dokładne przyjrzenie się witrynie doprowadziło nas do przekierowania na oficjalną stronę Office 365. 2+2 = phishing na konta Office. Po nakarmieniu CyberTarczy stroną docelową (treść ukryta na stronie uczciwej kwiaciarni w stolicy Peru, Limie)  doszliśmy jednak do wniosku, że przyjrzymy się jej jeszcze dokładniej. Spojrzeliśmy, czy coś ciekawego mieści się pod tym samym adresem IP i… bingo!

Poczta Polska i DPD, czyli znane też nie tylko nam od dłuższego wyłudzenia danych karty płatniczej pod pozorem odbioru zaległej/zatrzymanej przesyłki. W efekcie jeden phishing pomógł nam zablokować kilkanaście witryn gotowych do phishingowych kampanii. Również tych na wydawać by się mogło nietykalnej domenie Amazon AWS. Faktycznie, zablokowanie ogólnoświatowej chmury mogłoby się zakończyć źle dla wielu uczciwych użytkowników. Dlatego – cóż – mamy swoje sposoby.