Od 2 dni docierała do nas informacja od użytkownika o imieniu Paweł, który otrzymywał od pewnego czasu na swoją firmową skrzynkę mejlową niechcianą wiadomość o treści następującej:

Od: [email protected]
Data: 24 lutego 2014 07:39:47 CET Do: *** (adresat wymazany) 
Temat: Pytanie Artykul-OTOMOTO.PL ! 
Witaj, 
Jestem bardzo zainteresowany ofertą na OTOMOTO.PL . 
httpx://ssl.otomoto.pl/gp/offer-listing/B0037KJULPL0/sr=/qid=/ref=olp_page_next?ie=UTF8&colid=&coliid=used&me=&qid=8373393947 
Jakie są następne kroki? Na co powinienem zwrócić? 
Widziałem dwie różne ceny za ten element, który jest w dobrej cenie? 
Sprawdź i powiedz mi, jak tylko to możliwe. 
Dziękuję, 
Racław Kowalczyk

Jak nie trudno się domyślić, wiadomość jest typowym spamem. Bystre oko użytkownika szybko zauważy, że treść jest napisana łamaną polszczyzną a jedyna sztuczka na jaką można dać się nabrać jest adres url, który tak naprawdę wydaje się wiarygodny na pierwszy rzut oka. Ale nie jest...

Jeśli adresat spróbuje skopiować link metodą zaznaczania tekstu, zostanie przekierowany faktycznie na serwis otomoto.pl, lecz na stronę, która nie istnieje (404).

W przypadku otworzenia URL-a bezpośrednio z hiperłącza, zostaniemy przekierowani na domenę oto-mot0.de.vu, z której redirect otworzy nam nic.de.vu/pl/start

Wystarczy najechać muszą na link, aby dowiedzieć się jaka strona zostanie otworzona po kliknięciu.

Zarówno domena oto-mot0.de.vu jak i nic.de.vu/pl/start są zarejestrowane przez grecką firmę, ale serwery znajdują się w południowych Niemczech.

Domain : de.vu

Registrar : Telecom Vanuatu Limited

DNS Server

ns6.idnscan.net : 80.190.246.106*

ns1.idnscan.net : 88.198.56.226*

Registrant

First Name : Domain

Last Name : Administration

Address : Marius Strasser P.O. Box 51

City : Nea Michaniona

Country : Greece

Email : [email protected]

* lokalizacja serwerów Datacenter w Nuernberg

Strony phishingowe zarejestrowane u tego samego dostawcy można znaleźć w serwisie PhishTank

Witryna na jaką zostajemy przekierowani wg VirusTotal i PhishTank nie jest stroną phishingową. Oczywiście nie zalecamy rejestracji domen u mało wiarygodnych dostawców a tym bardziej wykorzystujących (lub bez ich wiedzy) spam do zwiększenia potencjalnych klientów.

Nadawcę dodajemy do czarnej listy i w ten sposób blokujemy wiadomości od [email protected]

AUTOR:

Adrian Ścibor

Tagi
Podziel się