Phishing das contas da DHL: «DHL & PASSWORDS»

Olá a todos! Hoje vamos focar em um novo exemplo de phishing simples, tirado da prática atual, como sempre. Vamos analisar a seguinte carta:

Como vemos na captura de tela, há um anexo – página htm e é oferecido para ser aberto pelo “destinatário do pacote” desavisado.

Dentro deste documento, podemos ver um código JS contendo um valor de string Unicode codificado com a função “escape”.

Fragmento

Podemos usar o seguinte recurso para decodificar este fragmento:

Após a decodificação, podemos ver que o texto ainda está codificado base64:

Vamos decodificá-lo.

Para nossos propósitos, podemos usar, por exemplo, http://www.artlebedev.ru/tools/decoder/:

Como resultado, recebemos o código da página que é aberta localmente, e imita a página oficial da DHL. Assim, esta página é uma fonte perfeita para coletar e-mails e senhas de contas da DHL.

Entre outras coisas, há um link para um recurso no corpo desta página:

De alguma forma, considera-se “limpo”:

Quando você tenta abrir esta página, é redirecionado para o site da DHL. Como resultado, o usuário não suspeita de nada se ele verifica o link no navegador e tem a certeza de que está na página da DHL:

Como podemos ver no tráfego, há um post com a transmissão de uma senha e e-mail fornecidos na página falsa; e então há um redirecionamento para o site da DHL, como esperado.

Assim, há um real phishing de contas da DHL.

Só podemos bloquear este link no firewall e mais uma vez lembrar os usuários de que devem verificar cuidadosamente o link se forem solicitados a inserir senhas.