Фишинг с подменой URI: или как один хитрый редирект может угнать ваши пароли
Mr_Hartman 3 минуты назад Фишинг с подменой URI: или как один хитрый редирект может угнать ваши пароли Простой 3 мин 20 JavaScript * HTML * Кейс Из песочницы Всем привет! Хочу поделиться, возможно, не новым, но, на мой...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. Mr_Hartman 3 минуты назад Фишинг с подменой URI: или как один хитрый редирект может угнать ваши пароли Простой 3 мин 20 JavaScript * HTML * Кейс Из песочницы Всем привет! Хочу поделиться, возможно, не новым, но, на мой взгляд, довольно изощренным видом фишинга. Кто-то уже наверняка сталкивался с таким методом, а для кого-то он окажется в новинку.
ПРЕДУПРЕЖДЕНИЕ: Материалы данной статьи носят исключительно ознакомительный характер и публикуются в образовательных целях. Фишинг, равно как и любые разновидности социальной инженерии, направленные на получение НСД или нарушение целостности, доступности и конфиденциальности информации, являются уголовно наказуемыми деяниями. Информация предназначена для специалистов Blue Team в интересах противодействия интернет-мошенничеству.
Технические детали
ПисьмоОткрываю рабочую почту и вижу обратную связь от пользователя, в которой он предупреждает о попытке скама. После нескольких учебных фишинговых кампаний бдительность пользователей существенно возросла, что не может не радовать)))Обычная рядовая ситуация: юзера пытаются соскамить на письмо из техподдержки, но он сразу раскусил обман и перенаправил письмо в Отдел ИБ. ВложениеОткрываю сохраненное письмо.
Вижу классическую попытку обмана, рассчитанную на невнимательность - сброс пароля от учетной записи. Письмо отправлено с домена "etrh. ru" (зарегистрирован в РУ-сегменте, но об этом далее).
Казалось бы, обычный немного топорный скам, с которым сталкиваешься ежедневно. Видно, что мошенники особо не готовились, скорее всего запустили в массы с помощью скрипта-рассыльщика. Навожу курсор на гиперссылку и вижу адрес: ссылкиПроверяю ссылку с помощью curl, чтобы найти артефакты (стандартная процедура в таких ситуациях).
Отраслевые последствия
curl -s видим мы ловкий трюк с использованием Java-скрипта, который автоматически редиректит нас на совершенно другой веб-ресурс. атаки выглядит следующим образом: код на странице cvvc. html извлекает email жертвы из хэша URL и мгновенно (через 1 мс) перенаправляет браузер на основной фишинговый сервер: var hash = window.
setTimeout(function() { window. href = ' + em; }, 1);ANY. RUN - REPORTПрогоняю фишинговую ссылку через песочницу и получаю вполне очевидный результат - malicious activity Форма авторизации любезно предлагает слить свои пароли злоумышленникуИндикаторы компрометации (IOC)В таблице ниже — обнаруженные в ходе короткого расследования индикаторы.
Считаю своим долгом предупредить коллег из Blue Team. ТипЗначениеОписаниеДоменzil-dom. ruСкомпрометированный сайт-редиректорДоменthreestarcrm.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
