12:59
27/7/2018

[P] Ostrzeżenie: blokada home.pl

Czytasz wpis z sekcji “Aktywne Ataki“, w której umieszczamy otrzymywane od Czytelników sygnały o obecnie trwających złośliwych atakach wymierzonych w Polaków. Sekcja ta nie jest dostępna na głównej stronie Niebezpiecznika, a jedynie w sidebarze, po prawej stronie serwisu. Publikujemy w niej informacje tylko o tych atakach, które są masowe (tzn. otrzymaliśmy je od co najmniej kilku Czytelników). Informacje prezentujemy skrótowo, przede wszystkim po to, aby administratorzy mogli na ich podstawie jak najszybciej zabezpieczyć swoje sieci przed danym atakiem. Dlatego też nie analizujemy ewentualnych próbek złośliwego oprogramowania, choć nie wykluczamy, że dla ciekawych kampanii taką analizę przeprowadzimy i w późniejszym terminie opublikujemy jej wyniki w formie dedykowanego artykułu, który pojawi się na głównej stronie Niebezpiecznika.

TYP ATAKU

Phishing na konta home.pl

ZAWARTOŚĆ

Strona docelowa:

IOC

"home.pl" noreply-670380@homepl.com
"home.pl" noreply-977139@homepl.com

Ostrzezenie: blokada home.pl (ID: #9423)
Wazne powiadomienie: blokada home.pl (ID: #4125)
Wazne ostrzezenie: blokada home.pl (ID: #4559)
Wazne ostrzezenie: konieczne jest podjecie dzialan (ID: #6678)

http://aqo004.ml/r?email=
http://bon-duel28.ml/r?email=
http://web670.cf/r?email=
http://dis-loca90.tk/r?email=
http://joslsk301.tk/r?email=

https://login.poczta.home.pl.gimail.top/login/home.pl/?email=

PS. Ponieważ, jak to często bywa, w tej kampanii mogą być wysyłane także inne wariacje powyższej wiadomości (inne linki, inne adresy, inny tytuły wiadomości), prosimy Czytelników o pozostawianie dalszych IOC w komentarzach pod tym tekstem. To ułatwi innym bezpiecznikom blokowanie niechcianych treści.

Przeczytaj także:

17 komentarzy

Dodaj komentarz
  1. Co to znaczy “IOC”?

    • IOC = Indicator of Compromise. Tzn.: czego szukac w logach pod kątem tego ataku.

  2. Fachowy blur, nie ma co

    • Odczytałeś już co pod nim było? Pochwalisz się?

    • Piotrze,
      a co jak się uda odczytać…?

    • Pomyślimy nad nagrodą :)

    • W mailu jest .pl na końcu. Widać gołym okiem. Czy całość da się odczytać, to nie wiem. Może się da, a może nie.

    • W mailu jest też “@” – to mamy już 4 znaki razem, teraz z górki!

    • A co z deklaracją, że od czasu akcji z odczytaniem danych z dowodu osobistego będziecie używać wyłącznie bloków zamiast rozmycia/mozaiki?

    • @o nigdzie nie padło to, co sugerujesz. Wróć do tamtego artykułu i przeczytaj go jeszcze raz :)

  3. Odczytałem tylko nagłówek e-maila skąd to przyszło i nie musiałem czytać dalej. Po co dalej się nad tym rozwodzić? Widać że nie przyszło z domeny home.pl

  4. Zajebista inicjatywa. BEde podsylal jak cos bedzie.

    • Zgadzam się ale:
      1. Przesyłanie jako załącznik (tj. z nagłówkami a nie w treści!) aby niebezpiecznik dysponował pełnymi nagłówkami. Jeśli pracujesz w firmie w której PolBez tego zabrania ocenzuruj wyraźnie “wrażliwe” nagłówki – zamień je np. na CENSORED.TLD lub podobnie ale konsekwentnie.
      2. Niebezpiecznik powinien robić to czego userzy nie robią, tj. zgłaszać do spamcopa + wysłanie ew. próbek/URLi do virustotala i hybrida najlpepiej z własnych kont w w/w serwisach.
      Bez spełnienia powyższych kryteriów nie będzie to niczym niż blogiem o dawno minionych zdarzeniach.

    • Zapraszamy innych by na podstawie naszych wpisów zgłaszali spamkopom, virustotalom itepedom. Każda pomocna dłoń się przyda.

  5. Widzę, że niektórzy dyskutują nieco OT. Ten email przyszedł na adres nie posiadający konta pocztowego na home lecz własny serwer pocztowy i odebrany przez doświadczonego sysadmina umiejącego skorzystać z Ctrl-U, whois itp. ;)
    Zgłoszony do SpamCop, strona docelowa zgłoszona Google.
    Potencjalnie email może trafić do mniej doświadczonych użytkowników i/lub następnym razem to może być adres panelu hoome do zarządzania domenami. Jak się ktoś nabierze może mieć spory kłopocik…

  6. Świetnie, mój pracodawca w to kliknął, a potem wyszedł. Co robić? Jak żyć? Bać się?

    • Kliknął – no problem. Gorzej jeśli wypełnił formularz…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.