לתקוף את התוקף - סיפרו של קמפיין פישינג כושל - ITSAFE
אז כולנו חווים בתקופה האחרונה גל אדיר של ניסיונות פישיניג כאלו מאוד לא מושקעים וכאלו שנבנו בקפידה תוך מתן מחשבה בפרטים הקטנים ביותר, סיפורנו מתחיל בהודעת פישיניג הנשלחה אלי כחלק מקמפיין פישיניג נרחב (שזה אומר בעצם בתפוצה רבה ולא ממוקדת איך אומרים אללה "באב אללה")
להלן הודעת הפישינג המדוברת:
כמובן שהסתרתי את כתובת ה URL באופן חלקי כדי שבכל זאת לא תנסו לגשת, אפשר לראות כבר בהודעה הראשונה שנשלחה ב SMS שהדומיין מסתיים בסיומת cash (מי לעזעזל משתמש בזה?) באף מצב שבעולם שום חברת שליחויות לא תשתמש בסיומת כזו אבל עדיין סיקרן אותי לדעת מה מסתתר מאחורי הלינק (בראש אני שומע את צדי צרפתי קורא "מי זה? , מי זה? , מי זה?")
לבסוף נחשפתי לדף שנראה מאוד טוב ומשכנע אני חייב לציין:
מסיבה לא ברורה החלטתי לנסות לתקוף את התוקף ואולי להציל כמה נפשות לא מודעות בישראל, כשלב ראשון הנחתי שמאחר והתוקף רוצה לאסוף פרטים (במקרה הזה כרטיסי אשראי) סביר להניח שהוא אוסף את הכל למסד נתונים.
מפה לשם שיחקתי עם הפרמטרים של שליחת הפרטים לתוקף ומצאתי פגיעות די פשוטה של Sql Injection שבעצם מאפשרת לי להזריק ערכים למסד הנתונים.
לאחר מכן בדקתי מהם המסדים הקיימים בתוך אותו שירות (שכמו שאתם רואים חשוף לגמרי)
אוקיי אז יש לנו שמות של מסדי נתונים, השלב הבא הוא לבדוק איזה טבלאות קיימות שם ולאתר את הטבלה שאליה המידע שהתוקף גונב נכנס.
אז לא לקח יותר מידי זמן למצוא את הטבלה המעניינת:
אז To make long story short נמצאו כל כרטיסי האשראי של מי שלצערי נפל ונתן את הפרטים לכן השתמשתי בפקודת הקסם Drop table שבעצם מחקה את כל המידע שהתוקף לקח מהקורבנות, לצערי זוהי רק טיפה בים, אין ספק שהפיתרון הוא ערנות מוגברת ומודעות גבוהה לתקיפות מסוג זה.
אז עד הפעם הבאה, סטודנט אנונימי :)