23 December 2011 ~ 0 Comments

Analiza phishing email poruke “Obavijest za povrat”

Posljednjih dana kruži e-mail poruka koja obaviještava čitatelja da je porezna uprava utvrdila da će čitatelju poruke isplatiti 857,88 kuna te se od čitatelja traži da otvori priloženi dokument “Povrat Obrazac.htm” koji je potrebno ispuniti. Kao pošiljatelj se navodi “Porezna upravat ([email protected])”. Sama e-mail poruka je slijedećeg sadržaja:

—————————————————————————————————————-

MINISTARSTVO FINANCIJA – Porezna uprava

2 3 / 1 2 / 2 0 1 1

D r a g i p o r e z n o g o b v e z n i k a ,

N a k o n p o s l j e d n j e g g o d i š n j i o b r a c u n s v o g f i s k a l n e a k t i v n o s t i s m o u t v r d i l i d a s t e p o d o b n i z a p r i m a n j e p o v r a t p o r e z a o d 8 5 7 . 8 8 H R K .

M o l i m o p o d n e s i t e z a h t j e v z a p o v r a t p o r e z a i d o p u s t i t i n a m 6 – 9 d a n a k a k o b i s e p r o c e s .

D a b i s t e p r i s t u p i l i p o v r a t p o r e z a , s l i j e d i t e k o r a k e u n a s t a v k u :

….- P r e u z i m a n j e P o v r a t o b r a z a c u p r i l o g u o v o g e m a i l
….- G a o t v o r i t e u p r e g l e d n i k u
….- S l i j e d i t e u p u t e n a z a s l o n u

P o v r a t m o ž e b i t i o d g o d e n z a n i z r a z l o g a . N a p r i m j e r p o d n o š e n j a n e v a ž e c i h z a p i s a i l i p r i m j e n o m n a k o n i s t e k a r o k a .

—————————————————————————————————————-

Naravno, već na prvi pogled poruka je sumnjiva kako je korišten porpuno netočan hrvatski jezik, tj. korišten je Google Translate kako bi se poruka prilagodila napadima na državljane Republike Hrvatske.

Pokretanjem “Povrat Obrazac.htm” dokumenta otvara se korisnikov Internet preglednik sa stranicom koja je vješto lažirana kopija stranica Porezne Uprave Republike Hrvatske.

Prikaz lažne Internet stranice Porezne uprave

Iako izgledom identična stranicama Porezne uprave Republike Hrvatske, nekoliko stvari odaje da je dokument iz priloga e-mail poruke lažirana kopija. Iako linkovi na vrhu stranice rade tj. potpuno su funkcionalni, linkovi u lijevom stupcu uopće ne funkcioniraju. Također, ponavlja se vrlo loš Hrvatski jezik. I naravno, informatički pismenije osobe trenutno će uočiti prijevaru kako Porezna uprava od korisnika nikada ne bi tražila broj kreditne kartice i datum isteka a pogotovo PIN broj kartice.

Analizom izvornog koda otkriva se stvarna namjera dokumenta “Povrat Obrazac.htm”. Sve unesene informacije prenose se prema adresi http://95.224.187.115/w/w.php POST metodom  (ne otvarajte navedeni link! Link potencijalno prikuplja informacije o posjetiteljima!) . Naravno, IP adresa ne pripada Poreznoj upravi (IP adresa na kojoj se nalaze stranice porezne uprave je 195.234.22.111) već pripada telekom operateru Telecom Italia. IP adresa pokazuje na DNS zapis host115-187-static.224-95-b.business.telecomitalia.it što otkriva zakupljenu statičnu IP adresu. Lokacijski, navedena IP adresa nalazi se u gradu Lecco, sjeverno od Milana u Italiji. IP adresa je aktivna od 08.12.2011. godine te još uvijek nije označena kao nesigurna u DNS zapisima. U trenu pisanja ovog teksta, IP adresa je bila još uvijek aktivna te su otvoreni portovi 80 TCP (www), port 21 TCP (FTP), port 3389 TCP (Microsoft Remote Desktop), port 53 UDP (DNS) i port 67 UDP (DHCPS). Prema navedenim portovima može se zaključiti da je poslužitelj pripremljen i za man-in-the-middle fakse DNS napade!

IP adresu i samo poruku prijaviti ću nacionalnom CERT-u i Telekom Italia operateru. IP adresu ću prijaviti na DNS black listu.

Sama email poruka je poslana putem adrese ftp.trad.logos.it (IP adresa: 193.41.7.210) koja je registrirana na ime Pietro Campanini, Fondazione Logos, Via Curtatona 5/2, Modena, 41126, MO, IT i nalazi se u gradu Modena u Italiji. Poruka se zatim prosljeđuje putem cp.devkp.ru adrese (IP adresa: 78.47.57.188) koja je anonimno registrirana kod spaceweb.ru providera a poslužitelj se nalazi u Berlinu u Njemačkoj. Obe IP adrese su označene kao sumnjive te da potencijalno prosljeđuju SPAM poruke i malware sadržaj.

Ukoliko ste primili poruke sličnog sadržaja molim Vas da mi proslijedite poruke i privitke kako bih ih mogao analizirati te pomoći u sprječavanju daljnjih zlonamjernih radnji. U slijedećim danima ću uspostavit email adresu na koju ćete mi moći proslijediti naveden poruke te mjesto za pohranu datoteka.

I da, od danas pišem i na hrvatskom i na engleskom jeziku :) Prvo ću objavljivati postove na hrvatskom a kroz par dana će isti post izaći i na engleskom jeziku.

Leave a Reply