Nieuw type phishing scam ?

ubremoved_2964 · 18 sep 2014, 00:31

Ik zie al jaren van die mails passeren waarbij men enkel vraagt naar shipping terms en of we credit card aanvaarden, zonder ook maar één product te vermelden van onze site. Dus bij gevolg wel scam/spam ...

Vandaag zag ik een nieuwe variant, waarbij de producten waarin ze geïnteresseerd zijn, op een generische URL staat ......

IP in headers is 81.37.137.207, van Spaanse afkomst, en gekend bij https://www.projecthoneypot.org/ip_81.37.137.207 ... dus geen UK adres zoals in de signature

Omdat ik het zaakje niet vertrouw, heb ik de URL met curl gedownload .... wat ik in de code zie is zorgwekkend en een vorm van phishing :

Code: Selecteer alles

<form method='post' action='form.php'>
                        <div>

                        <h1>SECURED DOCUMENTS DATABASE</h1>
                        <p>         Login with your Own Valid Business Email and Password to
                        get full access to Download Documents.</p>
                        <div class='centre'>
                        <table style='margin-left: auto; margin-right: auto; width: 300px'>
                        <tbody>
                        <tr>
                        <th style='width: 20%; text-align: right; padding-right: 1em'>
                        Email Address: </th>

                        <td style='text-align: left'><input type='text' name='email' size='30'/></td>
                        </tr>
                        <tr>
                        <th style='text-align: right; padding-right: 1em'>Password: </th>
                        <td style='text-align: left'><input type='password' name='pass' size='30'/></td>
                        </tr>
                        </tbody>
                        </table>

Er staat letterlijk: "Login with your Own Valid Business Email and Password to get full access to Download Documents" en je emailadres en password, als je zo dom bent dat in te vullen, worden gesubmit naar form.php

Die form.php geeft een static image terug:

Code: Selecteer alles

<HTML>
<HEAD>

        <TITLE>302 Moved</TITLE>

</HEAD>
<BODY BGCOLOR=#FFFFFF>

        <H1>302 Moved</H1>
        The document has moved <A HREF="Image(225).jpg">here</A>.

</BODY>
</HTML>

en die image is gewoon een nepdocument:

http://www.kebabos.pl/components/com_jc ... e(225).jpg

Iemand zin om

while true
do
curl "http://www.kebabos.pl/components/com_jc ... ssword=you"
done

een tijdje te laten lopen

cyrano · 18 sep 2014, 01:20

Dat "form" is gewoon een html document en het kan niet eens gegevens doorsturen...

Wat het is, weet ik ook niet. Er staan een paar teller javascriptjes in van ten minste twee andere site, die ook gehackt blijken. Enfin, Google safe browsing en konsoorten weten er al van.

ubremoved_2964 · 18 sep 2014, 02:13

Die HTML form post naar form.php

Code: Selecteer alles

form method='post' action='form.php'

maakt niet uit wat je post, je krijgt altijd als output van form.php een redirect naar een image

ubremoved_539 · 18 sep 2014, 11:29

Images kunnen gebruikt worden als installatie methode voor virussen !

cyrano · 18 sep 2014, 14:54

images kunnen gebruikt worden als drager voor virussen. Eender wat kan gebruikt worden als drager.

Maar hier is er geen input, want er draait niks achter.

Als je de HTML code bekijkt, zie je meteen dat dat een rommeltje is. En wat je ook doet, altijd wordt dat plaatje (dat ondertussen door VT als clean gerapporteerd wordt) getoond. Zelfs een poging om er 100 K letters in te gooien, wordt onmiddellijk beantwoord...

Moest er bv. een database achterhangen, dan zouden ze hun input wel "sanitizen".

Hoe dit rommeltje tot stand gekomen is, weet ik ook niet. Ik veronderstel dat ergens een php shell of een serie scriptjes losgelaten worden die veel bugs bevatten.

De site zelf is wel degelijk gekraakt, natuurlijk.