こんにちは皆さん! 今日はいつものように実際の実践からのシンプルなフィッシングの新しい例に焦点を当てます。次の手紙を分析してみましょう:
スクリーンショットを見てみると、添付ファイルとしてhtmページがあり、無防備な「荷物の受取人」に開かれるよう提案されています。
この文書の中には、「escape」関数で符号化されたUnicode文字列値を含むJSコードが見られます。
フラグメント
この フラグメント:
をデコードするために、次のリソースを使用できます。base64:
デコードしてみましょう。
目的のために例えば、 http://www.artlebedev.ru/tools/decoder/:
その結果、ローカルで開かれるページのコードを受け取りますが、それは公式のDHLウェブページを模倣しています。したがって、このページはDHLアカウントのメールとパスワードを集めるのに完璧なソースです。
他のことと合わせて、このページの本文にはリソースへのリンクがあります:
なぜかこれは「クリア」と考えられています:
このウェブページを開こうとすると、DHLのウェブサイトにリダイレクトされます。結果として、ユーザーはブラウザでリンクを確認しても何も疑わず、DHLウェブページにいると確信されます:
トラフィックを見ると、偽のページに提供されたパスワードとメールの送信があり、それから期待通りにDHLサイトへリダイレクトされます。
したがって本当の DHLアカウントのフィッシングが行われています。
このリンクをファイアウォールでブロックし、ユーザーにもう一度パスワードを求められたときにはリンクを注意深く確認するように思い出させるしかありません。
