Phishing na home.pl

W poprzednim artykule opisaliśmy atak mający na celu rozpakowanie załącznika. Dzisiaj – klasyczne podszywanie się celem wykradzenia loginu i hasła.

Kilka minut temu przyszedł mail jakich dużo – Weryfikacja danych kontaktowych od home.pl. Standardowa sprawa, gdy kończy się działanie usługi, Home chce wiedzieć do kogo wysłać fakturę. Trochę naszych klientów ma tam swoje usługi, my mamy aliasy, to jednym z pierwszych ruchów jest sprawdzenie do kogo i od kogo jest mail. A tu takie cudeńko:

Z czystej ciekawości zrobiłem małą analizę. Oczywiście poczta-home.com jest fałszywym adresem, jednak podszycie się pod panel home.pl jest już przeprowadzone fachowo. Ale diabeł tkwi, jak zwykle, w szczegółach :).

Uwaga! Zrobiliśmy to, żebyście wy nie musieli klikać. Przed sprawdzeniem z poziomu przeglądarki, upewniłem się, czy otwierana strona jest bezpieczna. Jest. Ale i tak sugerujemy nie klikać w linki!

Na początek porównałem strony, zarówno oryginał, jak i podszycie się.

Oryginał:

Certyfikat oryginału

Strona wykradająca dane logowania:

i jej certyfikat

Oczywiście whois nic nie mówi o domenie poczta-home.com, a adres IP wskazuje na Kalifornię.  Po uzupełnieniu danych do logowania, strona ładnie przekierowuje na prawidłową już stronę Home.pl, gdzie można się logować. Co się dzieje z naszymi danymi? Ciężko powiedzieć, ale na pewno nic dobrego. Stąd jeżeli daliście się złapać – zmieńcie hasło, lub dzwońcie do nas.

Udostępnij