מפרסם: עולם הסייבר
תאריך: 22/09/2020 10:46
נושא: אינטרנט ודיגיטל
הודעה לעיתונות

עוקץ חדש שמגיע לכאורה מחברת פרטנר

עוקץ חדש שמגיע לכאורה מחברת פרטנר וזו לשון ההודעה:

From: Partner
To: XXXXXXXXX
Sent: Monday, September 21, 2020 10:08 PM
Subject: עדכון חשוב

אנו מבצעים שינויים בהסכמים המשפטיים שלנו שיחולו עליך.
עליך לעדכן את המידע שלך
לחץ על הקישור למטה והתחל לעדכן
התחל עכשיו
אם יש לך שאלות לגבי שינויים אלה או לגבי החשבון שלך, ניתן ליצור קשר איתנו.
בברכה,

מהסתכלות ראשונה נראה שמייל הגיעה מפרטנר או לפחות כך מוצהר בשורת FROM שרואים בה בבירור שכתובת PARTNER. אם לוחצים על קליק ימני כדי לבדוק מהיכן הגיעה המייל רואים את הכתובת: [email protected]. וואו מישהו השקיע כאן.

מקריאת ההודעה בעברית לא רואים שיש טעויות בעברית וזה נותן תחושה שמדובר בהודעה אמיתית מפרטנר מה גם שהלוגו הוא של פרטנר.

רוב האנשים שיקבלו הודעה זו יחשבו שמדובר בהודעה שהגיעה באמת מפרטנר אלא שאם בודקים את הלינק "התחל עכשיו" רואים שהוא מפנה לאתר אחר לגמרי מאתר פרטנר:

https://www.danceworldsundsvall.se/bilder/content/NN.phtml

לא צריך להיות גאון כדי להבין שמדובר בניסיון פישינג אומנם אמין יותר מניסיונות פישינג אחרים ולא הרבה יבדקו את הלינק ועל כן כשיעור חשוב לחיים מומלץ תמיד לבדוק לאן שולחים אתכם לפני שאתם לוחצים על הלינק ומוסרים פרטים אישיים.

טוב, אז בואו נראה מה נוכל ללמוד על הפישינג המדובר:

בדיקה ראשונה – האם מדובר בפישינג לאיסוף מידע בלבד או שמדובר באתר המכיל קודים זדוניים?
לקחתי את הלינק והעליתי אותו לאתר VIRUS TOTAL כדי לראות האם האתר מכיל בתוכו קודים זדוניים, אלה התוצאות:

זה מדהים שרק פורטינט וקספרסקי זיהו את הפישינג מתוך 79 אנטי וירוסים, מה שאומר שברוב המקרים תוכנות הוירוס שלכם לא היו מזהות את הפישינג כי הם עדיין לא נחשפו לאתר זה ככל הנראה.

הבדיקה הבאה היא לבדוק מי עומד מאחורי הפישינג?
מבדיקת הדומיין ניתן לראות שמדובר בדומיין די ותיק שנוצר בשנת 2007: Created on 2007-08-15 והוא פעיל על אוגוסט 2021.
המדינה: קופנהגן שוודיה
IP Location Denmark - Hovedstaden - Copenhagen - One.com A/s

מדובר באתר http://danceworldsundsvall.se/ שהוא אתר קורסים לריקודים.

ניתן להבין מזה שהאקרים פרצו לאתר ושתלו בו הפניה כך שמי שמגיע לאתר שלהם בלינק המדובר יועבר אוטומטית לאתר הזה:
https://rjaytech.com/Pan/SginIn.php?websrc=5ff501b3b01ce6c0152e3605b9378a77&dispatched=48&id=949245

וכאן מקבלים את מסך הפישינג שמבקש שם משתמש וסיסמה:

בדיקת כתובת האתר שבו אוספים את שמות המשתמש והסיסמא מראה שמדובר באתר שיושב בהודו מומבאי:
IP Location India - Maharashtra - Mumbai - Linode Llc

וכאן נשאלת השאלה האם מדובר אכן במישהו בהודו שאוסף מידע או שמדובר בהאקר חכם מספיק שמשתמש באתרים תמימים כדי לעשות פישינג מבלי להדליק נורות אדומות.

הרי כולם יודעים שהאקרים משתמשים בדומיינים חדשים בני חודש או פחות ואז סוגרים אותם, אך גם כאן האתר הוא ממרץ 2019.

נראה שהפישינג עולה מדרגה בניסיון שלו לגרום לאנשים להאמין באמינות המיילים שהם שולחים ורק הזמן יגיד כמה באמת נפלו בפח ומסרו את הפרטים שלהם.

טיפ לסיום: לפני שאתם לוחצים על לינק במייל שאתם מקבלים תעצרו רגע ותחשבו האם מדובר בהודעה אמיתית או לא. אף אחד לא מצפה שתבדקו את אמינות המיילים כמו שעושים אנשים שמבינים בזה. כל מה שצריך לעשות להרים טלפון לספק שלכם ולשאול האם מדובר בהודעה אמיתית או פישינג.

הכותב: גבריאל – הבעלים של "עולם הסייבר"
חברה העוסקת בבדיקות ריגול בטלפונים סלולריים
www.cyberworld.co.il

לפרטים נוספים ניתן לפנות ל- עולם הסייבר.