Adathalász kísérlet a cPanel Inc. nevében

Adathalász kísérlet a cPanel Inc. nevében

Adathalász csalók próbálnak e-mailben cPanel belépési adatokat szerezni, szerencsére végtelenül átlátszó módon.

A csalók több külömböző tartalmú, de formailag hasonló levélben figyelmeztetnek, hogy valamilyen, a szolgáltatáshoz kapcsolódó limitet elértünk, vagy hamarosan felfüggesztésre kerül a tárhelyünk:

The Domain “sajatdomain.hu”  has reached its inode quota.
Exceeding your inode quota can affect your website, uploads and email.
To avoid service interruption we recommend that you find the attachment file that is attached to this email to
automatically add more inodes to your hosting package now.

 

Removal of sajatdomain.hu  from our server has been approved and initiated,
Due to ignorance of last verification warning.
Removal will occur  exactly at our server programmed time and hour
We recommend that you find the attachment file  that is attached to this email and Cancel Removal

Értelemszerűen sem mi, sem más tárhelyszolgáltató nem kér sem e-mailben, sem az e-mail mellékleteként megküldött fájlban érzékeny felhasználói adatokat tárhelyszolgáltatásról! Ilyen levelek esetében (főleg mivel ezek szinte mindíg a SPAM mappában landolnak) soha ne nyissuk meg a csatolmányt! Amennyiben egy ilyen oldalon megadta a tárhelyének adatait haladéktalanul frissítse jelszavát!

A levél elsőre hitelesnek tűnhet egy gyanútlan felhasználóknak, de a cPanel sablon e-mailjeitől eltérő formátumot használ:

A levélben található egy HTML fájl, amit már a Windows Defender is ismer, így azt nem engedi megnyitni. A fájl egyetlen sort tartalmaz, melyet javascript unescape segítségével dekódol.
A fájl megnyitása után, egy, a betárcsázós internet korabeli weblapokat megszégyenítő felhasználói felület fogad minket:

Ezen a felületen már minimum gyanús (azon kívül, hogy egy kicsit sem hasonlít a jelenlegi cPanel belépési felületre), hogy bekéri a domain-t is, amire egy tárhelyszolgáltatásnál semmi szükség nincs.

Az adatok megadása után egyébként egy HTTP post-al elküldi egy korábban feltört weboldal számára:Természetesen az IP cím WHOIS rekordjában található abuse e-mail címen jeleztük az adathalászati tevékenységet, viszont ez sajnos nem sokat ér, mivel valószínűleg nem csak egy weboldalt használnak az adatgyűjtéshez.