Сьогодні ми розглянемо приклад елементарного фішингу з реальної практики. Проаналізуємо наступний лист:
Як видно зі скріншоту, у вкладенні у нас є htm сторінка, яку пропонується завантажити «одержувачу посилки», який нічого не підозрює.
Всередині цього документа можна побачити код JS, який містить певне закодоване за допомогою функції escape строкове значення в форматі Юнікод:
Для декодування цього фрагмента можна скористатися, наприклад, таким ресурсом:
Після декодування стає очевидно, що це ще не кінець, і текст все ще закодований, але на цей раз за допомогою base64:
Розкодуємо і його. У підсумку отримуємо код сторінки, яка, запускаючись локально, імітує офіційну сторінку компанії DHL - і явно підходить під мета збору емейлів і паролів від DHL акаунтів:
Серед іншого в тілі цієї сторінки є посилання на ресурс:
При спробі зайти на цей ресурс, відразу відбувається редирект на сайт DHL, щоб користувач, перевіряючи посилання в браузері, нічого не запідозрив і зміг переконатися, в тому, що дійсно знаходиться на сайті DHL:
Судячи з трафіку, йде post з передачею пароля і емейла, який ми вводимо на фальшивій сторінці, а потім, як і очікувалося, йде редирект на сам сайт DHL.
Так що перед нами дійсно фішинг DHL акаунтів.
Залишається тільки поставити дане посилання в блок на фаєрвол і ще раз нагадати користувачам уважно перевіряти посилання, за якими у них запитують паролі.