ברוכים הבאים לאזור הבלוגים הטכנולוגיים של ITsafe



קריאה מהנה


לתקוף את התוקף - סיפרו של קמפיין פישינג כושל.

אז כולנו חווים בתקופה האחרונה גל אדיר של ניסיונות פישיניג כאלו מאוד לא מושקעים וכאלו שנבנו בקפידה תוך מתן מחשבה בפרטים הקטנים ביותר, סיפורנו מתחיל בהודעת פישיניג הנשלחה אלי כחלק מקמפיין פישיניג נרחב (שזה אומר בעצם בתפוצה רבה ולא ממוקדת איך אומרים אללה "באב אללה")

להלן הודעת הפישינג המדוברת:

קופון של Aliexpress המציג 5$ הנחה

כמובן שהסתרתי את כתובת ה URL באופן חלקי כדי שבכל זאת לא תנסו לגשת, אפשר לראות כבר בהודעה הראשונה שנשלחה ב SMS שהדומיין מסתיים בסיומת cash (מי לעזעזל משתמש בזה?) באף מצב שבעולם שום חברת שליחויות לא תשתמש בסיומת כזו אבל עדיין סיקרן אותי לדעת מה מסתתר מאחורי הלינק (בראש אני שומע את צדי צרפתי קורא "מי זה? , מי זה? , מי זה?")

קופון של Aliexpress המציג 5$ הנחה

לבסוף נחשפתי לדף שנראה מאוד טוב ומשכנע אני חייב לציין:

קופון של Aliexpress המציג 5$ הנחה

מסיבה לא ברורה החלטתי לנסות לתקוף את התוקף ואולי להציל כמה נפשות לא מודעות בישראל, כשלב ראשון הנחתי שמאחר והתוקף רוצה לאסוף פרטים (במקרה הזה כרטיסי אשראי) סביר להניח שהוא אוסף את הכל למסד נתונים.

מפה לשם שיחקתי עם הפרמטרים של שליחת הפרטים לתוקף ומצאתי פגיעות די פשוטה של Sql Injection שבעצם מאפשרת לי להזריק ערכים למסד הנתונים.

קופון של Aliexpress המציג 5$ הנחה

לאחר מכן בדקתי מהם המסדים הקיימים בתוך אותו שירות (שכמו שאתם רואים חשוף לגמרי)

קופון של Aliexpress המציג 5$ הנחה

אוקיי אז יש לנו שמות של מסדי נתונים, השלב הבא הוא לבדוק איזה טבלאות קיימות שם ולאתר את הטבלה שאליה המידע שהתוקף גונב נכנס.

קופון של Aliexpress המציג 5$ הנחה

אז לא לקח יותר מידי זמן למצוא את הטבלה המעניינת:

קופון של Aliexpress המציג 5$ הנחה

אז To make long story short נמצאו כל כרטיסי האשראי של מי שלצערי נפל ונתן את הפרטים לכן השתמשתי בפקודת הקסם Drop table שבעצם מחקה את כל המידע שהתוקף לקח מהקורבנות, לצערי זוהי רק טיפה בים, אין ספק שהפיתרון הוא ערנות מוגברת ומודעות גבוהה לתקיפות מסוג זה.

אז עד הפעם הבאה, סטודנט אנונימי :)

Share this post