~strahinja/strahinja.srht.site

ref: a1bdc8f28beb6be015c9d41f1d86de79597f0a5c strahinja.srht.site/blog/2021-03/20210329.gmi -rw-r--r-- 3.2 KiB
a1bdc8f2Страхиња Радић Added .q/.a > ul formatting 9 months ago
                                                                                
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
# Phishing у покушају

Данас ме је изненадио мејл који је на први поглед стигао од cPanel-а, фирме која одржава истоимени софтвер, а који користи мој хостинг провајдер. Међутим, тај мејл је такав само на први поглед. Сва срећа па ја користим neomutt, а не веб апликацију за Gmail или неки од мање безбедних клијената за мејл. Ево, дакле, примера зашто је боље користити програме из командне линије за ГНУ са Линуксом.

=> https://strahinja.org//img/blog/phish-001.webp	Слика: phishing мејл #1



Чак иако занемаримо чињеницу да су мејлови у вези са GDPR-ом изашли из моде пре једно две-три године, постоји више сумњивих ствари које нису одмах очите у вези са овим мејлом. Прво, адреса са које је послат није ни са cPanel-овог домена, нити са домена мог хостинг провајдера. Друго, да се ради о правом мејлу, не би се тражило да „find the attachment file“ („‘пронађем’ фајл са прилогом“).  Даље, у HTML коду поруке постоје скривени линкови који упућују на домен Yahoo mail-а, а прилог је назван „Update our privacy policy.html“. Дакле, update-оваћу њихову политику приватности! /s

=> https://blog.cpanel.com/general-data-protection-regulation-and-cpanel/	GDPR

Када се овај .html прилог отвори (прослеђујући га програму less(1)), може се видети следеће:



=> https://strahinja.org//img/blog/phish-003.webp	Слика: HTML прилог

Ово је ништа друго него УРЛ кодиран HTML код, сакривен позивом JavaScript функције unescape(). Пошто ме је ово даље заинтригирало, убацио сам тај код у један од сајтова који нуде unescape.  Резултат је следећи:



=> https://strahinja.org//img/blog/phish-004.webp	Слика: код из HTML прилога

Овде видимо више сумњивих ствари: слику која је хостована на Imgur-у, формулар који се шаље на канадски сајт коме се чак ни не приступа преко HTTPS-а, слику са сајта за логое Logonoid, и опет текст који врло очито није саставила особа са енглеског говорног подручја: „update our privacy policy to your hosting portal“.  Вероватно су мислили на „website“, а глагол који су вероватно желели да употребе је apply!