חקירת הונאת פישינג לחידוש דומיין

סקירה על אימייל ופישינג בסגנון חידוש דומיינים

פישינג היא שיטה נפוצה לגניבת מידע רגיש מהמשתמש, תוך כדי שימוש במניפולציה על המשתמש, ע"י הצגת הודעות הנראות "רגילות לגמריי", אך בפועל מטרתן היא לגבות מידע מהמשתמש.

זה יכול להיות כל דבר שאתם יכולים למסור ולא ידעתם שאתם מוסרים אותו לידיים הלא הנכונות, כגון: מספרי כרטיסי אשראי, פרטים אישיים, פרטי גישה לחשבון בנק והרשימה עוד ענקית…

פישינג כולו בנוי על מניפולציה רגשית על המשתמש, ובכך המשתמש נותן בו את האמון כי מדובר במשהו רגיל לחלוטין.

  • כל המידע אשר מוצג בפוסט זה הינו לצורכי לימוד בלבד, כל שימוש לא חוקי כתוצאה משימוש במידע אשר מוצג בסקירה זו, הינה על אחריות המשתמש בלבד!

אפשרויות לביצוע פישינג:

  1. שליחת הודעה למשתמש באמצעות E-Mail על זכיה בפרסים, התחזות של חשבון הבנק וחברות פיננסיות, הודעה מזוייפות מארגונים, "התראות" על הידבקות בוירוסים).
  2. קבלת קבצים באמצעות רשתות חברתיות מאנשים שאיננו מכירים.
  3. שליחת הודעה למשתמש באמצעות מסרונים והפצת קישורים. כגון: התראות מחשבון הבנק, הודעות מוזרות מחברות תקשורת, הודעות על חיובים גבוהים והודעות מרשתות חברתיות.
  4. הקפצת חלונות דפדפן ואתרי פופ-אפ מציקים המתריעים על וירוסים

 

שלב #1 – ניתוח המייל:

לכתובת המייל שלי הגיעה ההודעה הבאה לחידוש דומיין:

פישינג שנראה דיי אמין אך אסור ליפול בו!

 

בתמונה אפשר לראות מספר דברים שיכולים לעלות ברשותינו נורה אדומה!

  1. כותרת הנושא היא [your-subject], משמע ההודעה נשלחה מטופס צור קשר ולא מכתובת מייל ספיציפית.
  2. מחיפוש קצר בגוגל נראה שהכתובת domainportalnet[.]com אינה ספקית דומיינים, ונראה שהכתובת דווחה בתור ספאמרית.
  3. כאשר ספק לחידוש דומיינים שולח לנו הודעה עבור חידוש דומיין – תמיד הוא ידרוש מאיתנו להתחבר לחשבון הלקוח שלנו אצל אותו רשם, לצורך ביצוע החידוש של הדומיין. (מה שאומר לעולם הוא לא ישלח קישור הנראה בצורה הבאה: https://domainportalnet[.]com/?n=<domain> )
  4. האתר מציג Secure – מה שגורם לאנשים לטעות שהאתר באמת מאובטח – שבפועל הוא פישינג לכל דבר. (האתר משתמש בשירות SSL של חברת CloudFlare).

 

שלב #2 – ניתוח האתר ובקשות יוצאות

 

בלחיצה על הקישור הגעתי לדף שנראה דיי אמין ומשכנע, שהציבו בתוכו הרבה לוגואים של חברות SSL על מנת לגרום למשתמש להאמין שאכן מדובר במקום הנכון לחידוש הדומיין:

שיטה מתוכמת לגנוב מידע מהמשתמש

 

בדף זה, כמו במייל – גם בו ישנם מספר אלמנטים שיכולים להעיד לנו כי מדובר בהונאת פישינג.

  1. לעולם רשם דומיינים איננו ישאיר כמות כל כך גדולה של לוגואים של חברות SSL (אלא אם כן יש לו דף שמציע שירותי SSL מכל מיני מנפיקים שונים).
  2. עלות חידוש דומיין משתנה בהתאם לשם המתחם ולא קיים שם מתחם שעולה 93.85 דולר. (שמות מתחם נעים באיזור מחירים בין 2 דולר ל-35 דולר, אלא אם כן מדובר בדומיין פרימיום).
  3. כאשר מחדשים דומיין, אין צורך להזין מחדש את פרטי ה-Owner (פרטי בעל הדומיין), אך בדף זה הפרטים הללו ניתנים להזנה כבר בלחיצה על הקישור (ככל הנראה הפרטים הללו לצורך ביצוע עסקאות בכרטיס האשראי של אותו גולש, החלק הזה הוא כמסווה לפרטי ניהול דומיין לצורך חידוש הדומיין – בפסקה Register Information).

בשלב זה החלטתי לבדוק את בעלות הדומיין ע"י שימוש ב-Whois:

whois

  1. הדומיין נרכש מרשם הדומיינים namesilo.com (מה שכבר מוכיח שהדומיין אכן לא רשם דומיינים).
  2. הדומיין נרשם ב-19/04/18, מה שמעלה עוד יותר חשד שמדובר בהונאה (חברות דומיינים בד"כ קיימות שנים בשוק).
  3. כתובות שרתי השמות (DNS) הינם: AMBER.NS.CLOUDFLARE.COM , MAREK.NS.CLOUDFLARE.COM (הדומיין מנוהל תחת CloudFlare) (ספקיות דומיינים אינם משתמשות ב-CloudFlare).

בלחיצה על כפתור ה-Pay Now, קפץ לי חלון פופאפ הנראה כך:

הספאמרים משקיעים מאמצים כדי לגנוב את המידע שלכם

הזנתי פרטים פיקטיביים על מנת לבחון לאן הבקשה מגיעה, ואלו היו התוצאות:

 

אנו רואים שהבקשה נשלחה לכתובת /site/fhtpay יחד עם הפרטמרים שהזנתי:

אם נסתכל הייטב על הבקשה, נראה כתובת אינטרנט תחת המפתח returnURL (נראה שזו הכתובת שאלייה הגולש אמור להגיע אך בפועל יש שגיאת 500 בקוד והמעבר לא מתבצע).

 

ביצעתי בדיקה על הכתובת הקיימת על גבי המשתנה של returnURL בכתובת jlasco[.]com, ואלו היו תוצאות ה-Whois:

 

  1. אנו רואים שהדומיין נקנה ברשם הדומיינים Godaddy.
  2. אנו רואים כי הדומיין חודש לאחרונה בתאריך 29/06/18 ותום התוקף שלו ב-28/06/19.
  3. החשוב ביותר – אנו רואים כי שרתי השמות בדומיין זה אינם מתנהלים תחת Cloudflare, אלא תחת חברת האחסון inmotionhosting בכתובות NS2.INMOTIONHOSTING.COM, NS1.INMOTIONHOSTING.COM.

נבצע כניסה אל הכתובת, ונגיע לאתר הזה:

 

האתר נראה כמו אתר פיקטיבי שמציע שירותי SEO, מה שעוד יותר העלה את החשד שלי שמדובר באותו אדם. (אם תסתכלו היטב תראו שגם באתר הפישינג יש בכותרת הלוגו של האתר "Domain SEO Service Registration Corp".

נחזור שוב אל הבקשה ששלחנו, ונחקור את ה-returnURL שקיבלנו:

jlasco[.]com/fhtpay/return.php

אנו רואים שישנה תיקיה בשרת תחת השם fhtpay, שהיא למעשה התיקיה שמכילה את המידע לגביי בקשות ששלחו.

ניגש אל הכתובת, ונגיע ל-Directory listing הבא:

בתיקיה ישנם 3 קבצי php (שאף אחת מהם לא מחזירה תשובה בעת הכניסה אלייהם).

מניחוש קל אני יכול לנחש שהקובץ הראשון "fhtpay.php" הוא הקובץ שמקבל את כל הערכים (למעשה כל פרטי האשראי נשלחים אליו – ככל הנראה באמצעות cURL).

הקובץ השני "proxy.php" נראה כמו קובץ שיש בו רשימות פרוקסי \ קובץ שמקבל רשימות פרוקסי על מנת להעביר את הבקשות דרך שרתי פרוקסי אל היעד.

הקובץ השלישי "return.php" נראה כמו קובץ ששומר מידע על הגולש ופרטים על הבקשה של הגולש (כגון כתובת אייפי, Useragent ועוד מידע כזה או אחר).

 

אנחנו רואים גם שישנה תיקיה בשם "logs/" (נראה כמו התיקיה ששומרת את כל המידע שהשולח גנב).

ניכנס אל התיקיה וכפי שאמרתי, זו התוצאה:

 

מה רואים כאן?

המון המון קבצים, כאשר כל קובץ אחד הוא קובץ שמכיל את הפרטים האישיים שאותו גולש שנפל בפח הזין למעשה (כרטיס אשראי, שם פרטי, שם משפחה ועוד..).

 

נפתח את אחד הקבצים וזו התוצאה:

 

אנו רואים שיש כאן המון פרטים שהגולש השאיר, כגון אימייל, פרטי כרטיס אשראי, סוג התקן ממנו נשלחה הבקשה (אייפון), אנחנו רואים גם כתובת של הגולש ומדינה – בקיצור – לא נעים.

 

היו זהירים עם מה שאתם עושים ועם המידע שאתם מחלקים באינטרנט.

 

מה עליי לעשות במקרים בהם אני מזהה פישינג?

יש לדווח על הפישינג בכתובות הבאות:

https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en

https://www.phishtank.com

https://www.us-cert.gov/report-phishing

https://www.antiphishing.org/report-phishing/

https://www.actionfraud.police.uk/report_phishing

 

כמו כן יש לדווח לחברת האחסון אשר מארחת את האתר, על מנת להסיר את החשבון של הלקוח שלהם אשר מפיץ פישינג באיטרנט.

 

 

 

 

אודות Snir Sofer
שמי שניר, עוסק באבטחת מידע ובעולם הלינוקס. חיי את עולם ה-IT, אוהב מאוד לתכנת ולפתח :)

2 Comments

  1. חיים03/07/2018 at 20:43

    מאמר מקצועי ומאלף!

    הגב
  2. אבי03/07/2018 at 21:06

    פוסט איכותי ואינפורמטיבי, תודה!
    היה נחמד ביותר אם היית מסביר איך לעשות את מה שעשית

    הגב

כתובת האימייל שלך לא תפורסם.