Phishing na konta play.pl, pierwsze próby

Dziś zauważyłem mała liczbę maili: „Nieodebrana Wiadomosc MMS – Play”. Jak widać temat jest bez polskich liter. Pierwsza przesłanka, że coś jest nie tak.Co ciekawe w mailu telefon należy do firmy do której jest adresowany. Widać ze stopki maila ściągane jest imię i nazwisko i telefon. Natomiast mail już jest inny i w dobrej domenie ale login już nie pasuje do osoby.

Co ciekawe odpowiedz idzie na adres @play.pl. Domena na który jest przekierowana to mms-play24.pl i została zarejestrowana wczoraj. Na razie widać strona w przygotowaniu… Chyba to są testowe maile..Stopka z symbolem Play. Podejrzewam , że jeśli strona ruszy wiele osób może się nabrać (o ile ruszy). MessageD kończy się na adres IP 192.168..x.x czyli lokalny nie pojawiający się w internecie.

Maile reagują na regułę którą dotyczyła spamu z 2009(!). Oto reguła(wyjątkowo prefix EXPERIMENTAL i nie znajdzie się ona w liście reguł gdyż jest nieprzebadana dokładnie). Na razie to hipoteza ze wszystkie maile będą się łapać.

header          EXPERIMENTAL_HDRS_MISSP             ALL =~ /\n(?:Subject|From|To):\S/ism
describe        EXPERIMENTAL_HDRS_MISSP             Misspaced headers
score           EXPERIMENTAL_HDRS_MISSP             2.0

Oto zrzut maila:

Zrzut ekranu z 2015-03-05 13:32:10

 Wraz z rozwojem sytuacji(jeśli taki nastąpi) strona będzie aktulizowana

[AKTUALIZACJA 2015-03-06]

Na stronie jest informacja, że jest ona obsługiwana przez home.pl. Prawdopodobnie akcja sie nei udała i zakończyła się nim rozpoczeła:) To juz druga próba taka w ostatnim czasie

[Aktualizacja 2015-03-06]

Strona już przekierowuje na dobra stronę PLAYa. Kolejny nieudany atak co oczywiście pozytywne

2 thoughts on “Phishing na konta play.pl, pierwsze próby

  1. Trochę offtop – ale pozwolę sobie zapytać. Czy jest jakiś patent na przeskanowanie zapisanej i dostarczonej wiadomości przez SA. Chodzi o scenariusz gdy otrzymujemy spam, piszemy regułki i chcąc sprawdzić fajnie było by odpalić skanowanie na tej konkretnej wiadomości celem testu. Czy da się tam z palca?

    Dzięki

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *