Timeweb который и не Timeweb вовсе... (Фишинг на моей почте)
Всем здрасте!
Читая данный пост вы соглашаетесь с тем что уведомлены о необразованности афтора и подвергаете себя на муки органов чувств а так же психологического здоровья.
Для крутых хакеров:
Пишу все от себя как думал, так же не имею абсолютно никакого опыта в этой области.
Все что применял знал по наслышке или из пары вырезок журнала "Хакер"
Пожалуйста поправьте в комментариях, за этим и пришел...
Итак начнем пожалуй:
Зарегистрировал я давеча домен себе для сайта, вернее не я а товарищ мой с которым и имеем общее дела да и помогаем друг другу реализовывать задачи.
Регистратор был у нас Timeweb.
Сегодня решил заглянуть в папку "СПАМ" на гмыле так как частенько замечаю там важные письма, и что же я там вижу?
То есть я вообще неконтактировал со спамеро-хацкером а он нашел мой адрес почты проверил на регистрацию в "Тайм-веб" ( Но я уверен инфа тупо сливается специально сотрудниками либо через дыру что одно и то же) в общем разных цветов и вкусов письма и угрозы и умоляли.
Так же обещали скидок, но беда в том что попалось мне самое завернутое я было не повелся .
Но остановил тот факт что отправитель совсем криво сделан
То есть понимаете он подменив отправителя слал мне письма от имени timeweb письма через домен который оказывается давно в спам базах.
А как видно выше он совсем отчаявшись когда понял что все идет в спам так как подписи у него оригинальной нет DMARC он решил написать уже с майл ру почты xD
Но здесь он решил прикрутить на сайт Робокасу видимо алгоритм такой настроен ,если атаки не происходит полноценной на браузер а тем более не закрепляется XSS атакой или еще чем то шлем спам для развода на деньги....
Кстати кто знает как его проучить ? Сильно будет неприятно если робокассу ему забанить ?
Или же он не шифруется совсем, может и мыло.ру у него личный?)
В общем теперь самое страшное:
В остальных письмах что приходили до этого, странная ссылка была что редиректила сама на себя, но при этом загружается эксплоит с всевозможными авто-атаками на браузер и усе.
Таким методом они точно не куки воровать собирались, видимо что то еще...
Кстати есть название того что они грузили и запускали, я тестировал через приватную вкладку в чистом браузере.
Я хоть и не шарю в коде и атаках но как раз изучал 2 дня назад XSS и тут на тебе OWASP
кому нужно загуглит конечно.
В общем приложу ссылку вернее ее примерную конструкцию . так как я токены и домен удалю:
sitepig.com/servlet/ValidateRAAServlet?id=3435&token=345654&redirectpage=%2Fservlet%2FValidateRAAServlet%3Fid%dfgdfdgdfgfdg%26token%dfgdfgdfgdfgdfgdf¤turl=https://sitepig.com
Вот примерное строение ссылки, так как я не уверен не удалили ли чего лишнего, объясните как она действует точно по последовательности...
А ведет она на страницу на которой размещен скрипт OWASP
Хорошо что он не стал чистит код и я по комментариям понял что этот софт создавался для тестирования проникновений .
В общем всем спас ибо можно пинать, подумал написать развернутый но решил что недостаточно знаний а тем более желания грузить людей с утра....