Jakiś czas temu dostałem trochę niedorobiony spam:
Pod wspomnianym adresem ujrzałem pięknie podrobioną stronę logowania mBanku, oczywiście bez certyfikatu.
Czasem mi się nudzi... Wypełniłem ten formularz bzdurnymi wartościami kilka tysięcy razy ;) ale końcu uruchomiły się jakieś funckje ochrony przed DDoS... Równolegle zgłosiłem tę stronę jako phishing do MS i G. Napisałem też maila do firmy hostingowej, ale nie dostałem żadnej odpowiedzi. Nie wiem, które (czy którekolwiek) z tych działań przyczyniło się do tego, ale kiedy parę dni później zajrzałem na stronę ponownie, okazało się, że index.html został usunięty i moim oczom ukazało się to:
Jeden z katalogów to owa spamowa domena. Ale co to jest to drugie? Po kliknięciu znalazłem się na stronie tłumaczącej konieczność pobrania certyfikatu mBanku na telefon wraz z obrazkowym instruktażem, jak po kolei przechodzić wszystkie ostrzeżenia Androida, że właśnie popełniasz samobójstwo. Wyskakuje okienko pobierania pliku apk. Niestety tym razem nie będzie screena. Ta strona również została już zdjęta, a nie porobiłem screenów zawczasu. Nie spodziewałem się, że będę z tym leciał na wykop :P
Jako, że wścibski jestem, pobrałem apkę i zdekompilowałem sympatycznym, acz niedorobionym narzędziem (uwaga: audycja zawieralokowanie produktu) Smali2Java
Już pobieżna analiza kodu pozwala dostrzec, jakimi zadaniami się ta aplikacja zajmuje... Przechwytywanie SMS-ów, historii przeglądania, robienie zdjęcia użytkownikowi frontową kamerą... Łatwo też znaleźć plik konfiguracyjny, który zawiera adres IP i numer portu, na który aplikacja wysyła te wszystkie dane. Są to...
91.239.67.186 i jakże hakierski port 1337.
Do kogo należy ten adres? Zapytałem moje ulubione narzędzie w takich sytuacjach: (uwaga: audycja zawierała lokowanie produktu)
GWhois
biznes-host.pl? No to piszemy maila:
Odpowiedź przyszła dość szybko, ale...
Wydawało mi się, że cały czas rozmawiam z jednym konsultantem (z litości zamazałem dane, bo to tylko pracownik), ale jak zajrzałem pod adres doczepiany do każdego maila, to się okazało, że ta niepodpisana wiadomość była od prezesa firmy (nie zamazuję danych):
Zobacz wpis w KRS
Czyli to nieważne, że właśnie kradzione są SMS-y, a może i pieniądze. Nawet nie podejmiemy próby weryfikacji zarzutów. Niech to sobie idzie drogą formalną, może za miesiąc ktoś wezwie jako świadka, to wtedy będziemy się martwić.
Jeżeli brat twój zgrzeszył, idź i upomnij go w cztery oczy.
Gdy cię usłucha, pozyskałeś swego brata.
Jeżeli cię nie usłucha: weź ze sobą jeszcze jedną lub dwie osoby,
żeby na podstawie zeznania dwóch lub trzech świadków cała sprawa została rozstrzygnięta.
Jeżeli ich także nie chce usłuchać: powiedz to Wykopowi.
A jeśli nawet Wykopu usłuchać nie chce, Niech będzie ci jako PO-wiec i PiS-owiec.
(Mi 18, 15-17)
Komentarze (64)
najlepsze
model wydawania hostingow/vpsow jest przewaznie w "5 min", klient oplaci paypalem, payujem (hehe) i dostaje.
hostodawca nie ma wplywu na to co jest hostowane praktycznie, strony przejete, ze scamami sie blokuje od razu. (np domena to kuriametropolitanska a na niej reklamy viagry)
Jezeli przychodzi pismo z urzedu/#!$%@? go wie (tu z ciekawostek, urzednicy nie maja pojecia o czym pisza, zdarza
"Proudly Served by LiteSpeed Web Server at autoryzacja-mbank.com Port 80"
No trudno, wydało się. Może z resztą niepotrzebnie zamazywałem akurat tę część, skoro i tak już wszystko pokasowane.
Gdyby się komuś chciało, to mogę podesłać apk na priv.
1. serwery mają dziurawe (byle gówniarz mógł swego czasu odczytać zawartość całego dysku - nic nie jest zabezpieczone),
2. firma biznes-host chyba nawet nie jest zarejestrowana, to tylko nazwa jednej ze spółek (a tam spółek jest sporo, co chwila ktoś te podfirmy komuś dalej sprzedaje, a zakładam, że wszystko jeden właściciel)
3. w fakturach