Executando verificação de segurança...

2 min de leitura ·

Café com SCAM

DISCLAMER - Apesar de gostar da área, eu não costumo estudar cibersecurity regularmente, então caso tenha falado alguma besteira, por favor releve

Lá estava eu abrindo meu e-mail pela manhã como de costume, quando de repente me deparo com a seguinte mensagem:

De imediato saquei que era phishing, baixei a página html pra analisar o código e ver a estratégia do golpista.

Após baixar o arquivo html, criei um projeto no Burp Suite e abri a aplicação no chromium integrado nele, o que vi foi uma página razoávelmente parecida, apesar de ter algumas incoerências, mas que com toda certeza poderia fazer alguém acreditar, afinal era só resgatar o prêmio haha.

Comecei a interceptar pelo Burp Suite, ao digitar a senha supostamente verdadeira e clicar para realizar o login aparece a clássica mensagem de erro:

Testei novamente e fui redirecionado para o elemento root da página do outlook.

Voltei para o burp e comecei a analisar as requisições que foram feitas através do proxy.

A sacada funciona de um forma bem simples, o formulário envia o e-mail, senha e ip da vítima para um bot no telegram, que por sua vez encaminha para o número privado do Scammer.

No cabeçalho da requisição estavam informações como id da conversa com o bot, o e-mail, senha e o ip.

Após prosseguir com a análise verifiquei a resposta da Api do telegram, que por sua vez retornou informações do bot e do perfil do dono do bot, conforme consta na imagem abaixo:

Após uma busca rápida, encontrei o perfil do scammer e do bot no telegram, o cara estava online e então eu decidi mandar uma mensagem para ele, afinal eu não pude deixar de achar divertido essa situação:

Como dito antes, o bot recebe e reencaminha para esse perfil as mensagens com o e-mail, ip e senha das vítimas, portanto eu decidi bagunçar um pouco com ele e enviar dezenas de milhares de requests para o bot com dados falsos com o intuito de zoar completamente qualquer obtenção de dados de vítimas reais(pelo menos 400k de requests, eu parei de contar):

E isso tudo aconteceu durante minha leitura diária de e-mails e uma dose de café.

Massa de mais! A única coisa que recomendaria era abrir o HTML em uma máquina virutal. Poderia ter um Javascript nesse HTML que poderia explorar uma falha Zero Day no Chrome (ou qualuqer outro navegador), mesmo ele sendo integrado ao Burp. Essa falha poderia permitir execução de código arbitrário no seu computador.

Veja por exemplo este CVE-2023-3079 no Google Chrome
https://www.cve.org/CVERecord?id=CVE-2023-3079
https://digital.nhs.uk/cyber-alerts/2023/cc-4328

Outra opção seria analisar o HTML em um editor de texto sem abrir no navegador e copiar só o HTML (que teoricamente é seguro pois não executa) pra outro arquivo, evitando partes que poderiam ter algum código malicioso, e abrir esse novo arquivo no navegador para ver ele renderizado.

Obs.: não sou um especialista em segurança da informação, portanto não tenho muita prorpiedade pra falar com 100% de certeza sobre o assunto.

Autor

Boas observações, eu fiquei tranquilo porque eu analisei o código no editor de texto antes e também utilizo linux, então depois de analisar e ver que apenas estava fazendo o envio do formulário fiquei confiante em rodar no burp

hahahaha muito boa essa zoada cara, bullying com scammer agente aprova kkk, o triste é que mesmo assim ele provavelmente não vai deixar de fazer isso e sempre tem um leigo que cai. Tenho que mandar avisos quase que mensalmente pros usuários da empresa que eu presto serviço pra não clicarem em qualquer e-mail e sempre verificar o remetente.

Autor

Pois é, infelizmente só foi possível fazer isso, sobre ter que relembrar os usuários quase que mensalmente, infelizmente é necessário haha

Muito bom! Atiçou minha curiosidade. Não vejo a hora de receber um phishing na minha caixa de entrada 😁

Autor

ah, que bom que gostou, se acontecer de receber, não deixe de compartilhar aqui haha

Literalmente, muito bom!! Melhor maneira de começar o dia, leitura, café e zoando um cara desses! Hahahaha

Muuuito bom!! Tomara que faça o mal elemento perder um tempinho filtrando as vitimas.
para o span de requisições você usou algum serviço?

Autor

haha obrigado pelo comentário, eu utilizei o ab para enviar as requisições,é um programa de teste de carga de linha de comando

Hahahahaah bom demais!
Nunca recebi um email desses, obrigado por compartilhar como esses caras praticam golpes... E parabéns por ter bagunçado a caixa de entrada do cara, ri muito!

Afinal, o que é Burp Suite? É pago? Você usa no dia-a-dia ou só usou pra esse teste específico? Fiquei curioso aqui...

Autor

Primeiramente, obrigado pelo feedback! Segundo, o Burp Suite é uma plataforma integrada para testes de segurança de aplicações web. Sim, é pago, porém a versão community é gratuita e possui muitas ferramentas de testes, que é a versão que utilizo, como falei no post, eu não estudo regulamente security, mas eu utilizo quase sempre que estou estudando ou analisando algo.

kkkkkkk

Muito bom cara... se esta moda pega ai ai kkkkkk iriamos dar boas risadas.
Inclusive, meu email da Outlook bomba com este tipo de email, ate parei de usa-lo,
Para num vacilo cai numa pegada assim.

Muito TOP, meu parabens pela a iniciativa, show de bola.

Excelente abordagem e muito bem pensando.
No seu caso parece que vc encheu a paciência do cidadão, mas isso me lembra um outro sujeito que vi fazer algo parecido usando um phishing email.

Nesse outro caso o phishing era voltado para conseguir o número do cartão de crédito da vítima e o scammer usava um validador para saber se o cartão era quente ou não. Cada validação tem um custo e foi aí que ele aproveitou para causar preju. Ele fez um robô, parecido com o seu, que spamou o validador e certamente causou algum prejuizo ao scammer.

Infelizmente eu não encontrei o vídeo em que vi isso, mas encontrei dois canais que se divertem atrapalhando a vida de scammers.

Caso alguém se interesse, seguem links:
https://www.youtube.com/@Scambaiter/featured
https://www.youtube.com/@ScammerPayback/featured

Autor

Obrigado pelo comentário! não cheguei a ver esse conteúdo, mas foi outra abordagem muito interessante e se teve prejuízo financeiro pro golpista, melhor ainda!

No caso do spam no validador de cartão tenho certeza de que teve preju.
Cada 1k requisições devem custar alguns centavos, mas se fizer 400k igual você fez, supondo 0,01 USD/1000k requisição, são 40USD de preju.

No video o cara faz uns 50k requisições. Se fosse eu faria uma dessas duas coisas:

Deixaria rodando 1h por dia até o cara ser obrigado a mudar o link;
Deixaria rodando no talo até o cara ser obrigado a mudar o link;

Dessas duas estratégias, acho que deixar rodando no talo dá mais prejuizo, afinal, se todo dia tem uma conta de 40USD, ele vai acabar mudando no segundo dia. Mas se chega uma conta de 4000USD logo de cara, ele muda no mesmo dia enquanto o estrago já está feito. Talvez a operadora do cartão suspeite e bloqueie a APIKey, mas certamente já vai ter feito um estrago bom tb.

No seu caso, como o processamento é baratinho, eu deixaria um worker rodando até parar de funcionar. Enquanto vc spama o cara ele não consegue trabalhar e assim que ele mudar o link, todos os email enviados anteriormente estarão salvos.

Edit:

Pior que eu vejo isso e já fico pensando que o cara pode usar um API Gateway e gerenciar as solicitações, bloquear IP e fazer load management.

Acabei de postar esse comentário com uma oportunidade de incomodar outro scammer.

Caraca mano que massa, tenho curiosidade para aprender cybersecurit, mas seria como um hobbie mesmo. Acha difícil pegar o jeito?

Você poderia abrir um canal no youtube para zoar scammers, já existem canais gringos que fazem isso, mas nenhum brasileiro.
Se eu soubesse a zoar scammer e a produzir vídeos pro youtube, eu faria um canal desses

Que negocio sensacional!

essa foi do balacobaco

Autor

Realmente foi! eu me diverti muito durante o processo

Adorei e me incentivou em um dia replicar isso!

Autor

Ah, que maneiro! fico no aguardo para ver mais posts como esse