แฮ็กกลับใส่มิจฉาชีพส่ง SMS ปลอมอ้าง USPS

(blog.smithsecurity.biz)

4 คะแนน โดย GN⁺ 2024-08-10 | 3 ความคิดเห็น | แชร์ทาง WhatsApp

ได้รับข้อความสแกมจากหมายเลขสุ่มว่า "พัสดุ USPS มาถึงแล้ว แต่ไม่สามารถจัดส่งได้เนื่องจากที่อยู่ผิดพลาด กรุณาคลิกลิงก์ด้านล่างเพื่อตรวจสอบที่อยู่.."
รู้ทันทีว่าเป็นสแกม แต่คนอื่นอาจถูกหลอกได้ ภรรยาของผู้เขียนก็เคยถูกหลอกเมื่อไม่กี่เดือนก่อน
เมื่อแชร์เรื่องนี้ในช่องทางออนไลน์ ก็มีคนคนหนึ่ง (ขอเรียกว่า S1n) ตัดสินใจจะแก้เผ็ดมิจฉาชีพ

การสืบสวนเบื้องต้น

ใช้การสแกน nmap เพื่อระบุโดเมนและภูมิภาคเพิ่มเติมที่พวกเขาใช้งาน
ใช้ Burp Suite ดักจับทราฟฟิกระหว่างสำรวจเว็บไซต์
เว็บไซต์ในข้อความดูเหมือนเป็นโคลนของเว็บไซต์ USPS จริง
พบว่าใช้ IP เดียวกัน จึงมั่นใจว่าเป็นกลุ่มมิจฉาชีพ

การสื่อสารผ่าน WebSocket

มีการส่งชื่อไฟล์ผ่านการสื่อสาร WebSocket แล้วรับเนื้อหากลับมา
สิ่งนี้นำไปสู่ช่องโหว่ Local File Inclusion (LFI)
ผ่าน LFI จึงได้ข้อมูลเกี่ยวกับสภาพแวดล้อมของระบบเพิ่มเติม

การวิเคราะห์ไฟล์ PHP

ดึงไฟล์ PHP ของเว็บไซต์สแกมมาได้ทั้งหมด
ไฟล์ถูกทำให้อ่านยากอย่างมาก และมีอักขระภาษาจีนอยู่ด้วย
ระบบสื่อสารผ่านช่อง Telegram และบันทึกข้อมูลลงในเซิร์ฟเวอร์ MySQL

การรวบรวมข้อมูลเพิ่มเติม

ตรวจสอบ IP ที่ตั้งค่าไว้ผ่าน nginx access log
จากข้อมูลใบรับรองและ IP จึงคาดว่าเป็นมิจฉาชีพจากจีน

SQL Injection

ทำให้เกิดข้อผิดพลาดด้วยการใส่ single quote ในพารามิเตอร์ POST
ใช้ SQLMap เพื่อเข้าถึงฐานข้อมูลของมิจฉาชีพ
สำรวจภายในฐานข้อมูลและตรวจสอบข้อมูลของมิจฉาชีพ

การสำรวจฐานข้อมูล

ตรวจสอบข้อมูลผู้ดูแลของมิจฉาชีพจากตาราง admin
ตรวจสอบข้อมูลการตั้งค่าเว็บไซต์จากตาราง config
ตรวจสอบข้อมูลรายละเอียดของเหยื่อจากตาราง userinfo พบว่ามีการลงทะเบียนไว้ 3818 คน
ตรวจสอบข้อมูลติดตามผู้เข้าชมเว็บไซต์จากตาราง records

บทสรุป

S1n ไม่ได้บอกว่าจะจัดการหลักฐานทั้งหมดนี้อย่างไร แต่มีแนวโน้มว่าจะส่งหลักฐานที่รวบรวมได้ให้ศูนย์รับเรื่องอาชญากรรมทางอินเทอร์เน็ต เพื่อปิดเว็บไซต์และให้ผู้กระทำผิดได้รับโทษตามกฎหมาย

3 ความคิดเห็น

xguru 2024-08-11

ในประเทศเราก็มีข้อความสแปมที่ส่ง URL แปลก ๆ แบบนี้เยอะเหมือนกัน ถ้าลองเอาไปใช้แบบเดียวกันจะพอเป็นไปได้ไหมนะ?

tempus 2024-08-12

ตามกฎหมายภายในประเทศ การโจมตีเซิร์ฟเวอร์ในต่างประเทศก็อาจมีประเด็นทางกฎหมายได้เช่นกัน
อย่างน้อยเท่าที่ผมทราบ ในพื้นที่สาธารณะนั้นอนุญาตได้เพียงอย่างจำกัดมากเท่านั้น

GN⁺ 2024-08-10

ความคิดเห็นจาก Hacker News

NanoBaiter: ทำคอนเทนต์ล่อมิจฉาชีพบน YouTube แล้วแฮ็กระบบของพวกเขาเพื่อรบกวนการดำเนินงาน
- ระบุตัวมิจฉาชีพ แจ้งตำรวจ และพยายามคืนเงินให้เหยื่อ
- ดำเนินการคืนเงินให้เหยื่อผ่านบัญชี Stripe และจับภาพเหตุการณ์ตำรวจบุกเข้าตรวจค้นผ่าน CCTV
salt ของรหัสผ่านที่เข้ารหัส: ใช้ค่า wangduoyu666!.+-
- พบชื่อผู้ใช้ลักษณะใกล้เคียง เช่น wangduoyu666, wangduoyu8, wdy666666
- อาจค้นพบบัญชีบน GitHub, LinkedIn ฯลฯ ได้ผ่านการค้นหาใน Google
- ใช้ชื่อปลอมบน Telegram และแอบอ้างชื่อของนักร้องชาวจีน
- ในบัญชี Telegram สำรองก็ใช้ชื่อคล้ายกัน
- มีการอัปโหลดวิดีโอจำนวนมากบนช่อง YouTube ที่อธิบายวิธีหลบเลี่ยง Great Firewall ของจีน
การสอนจริยธรรมด้านเทคโนโลยี: นักศึกษาวิทยาการคอมพิวเตอร์คนหนึ่งในจีนกำลังใช้ทักษะที่เรียนมาเพื่อหารายได้เสริม
- เน้นย้ำความจำเป็นของการสอนจริยธรรมด้านเทคโนโลยี
- ชี้ให้เห็นว่ามีการสอนเทคโนโลยีที่ทรงพลัง แต่ขาดการสอนเรื่องจริยธรรม
เครือข่าย Smishing Triad: ส่งข้อความหลอกลวงได้มากถึงวันละ 100,000 ข้อความไปทั่วโลก
- การหลอกลวงผ่าน iMessage ใช้ e2ee แต่การหลอกลวงผ่าน SMS ควรถูกตรวจจับให้ได้
- กล่าวถึงความจำเป็นของหน่วยงานบังคับใช้กฎหมายที่สามารถจัดการอาชญากรรมไซเบอร์ได้อย่างมีประสิทธิภาพ
- เห็นว่าสหรัฐฯ ต้องการ Blue Team เวอร์ชันของ NSA
การแฮ็กอาชญากรไซเบอร์: ตั้งคำถามว่าการแฮ็กอาชญากรไซเบอร์จะมีโทษทางกฎหมายหรือไม่
- อธิบายว่าสถานการณ์นี้คล้ายกับการบุกบ้านโจรเพื่อเอาของที่ถูกขโมยกลับคืนมา
วิธีเมินแฮ็กเกอร์และมิจฉาชีพ: ได้เรียนรู้ว่าการเพิกเฉยต่อแฮ็กเกอร์และมิจฉาชีพเป็นทางเลือกที่ดีที่สุด
- พวกเขาสามารถโต้กลับได้อย่างรุนแรง และอาจเป็นอันตรายจริง
- ยกตัวอย่างเพื่อนที่เคยแฮ็กสแปมเมอร์แล้วเซิร์ฟเวอร์ของตัวเองถูกโจมตี
ความจำเป็นของโครงสร้างพื้นฐานโทรศัพท์/ข้อความแบบใหม่: เน้นความจำเป็นของโครงสร้างพื้นฐานที่ป้องกันการ spoof หมายเลขและกรองความพยายามหลอกลวง
ข้อยกเว้นใน CFAA: เห็นว่าจำเป็นต้องมีข้อยกเว้นใน CFAA สำหรับสถานการณ์ลักษณะนี้