Die USPS-SMS-Betrüger zurückhacken

 (blog.smithsecurity.biz)
4 Punkte von GN⁺ 2024-08-10 | 3 Kommentare | Auf WhatsApp teilen
  • Eine Scam-SMS von einer zufälligen Nummer erhalten: "Ihr USPS-Paket ist angekommen, kann aber wegen eines Adressfehlers nicht zugestellt werden. Klicken Sie auf den untenstehenden Link, um die Adresse zu bestätigen.."
  • Sofort erkannt, dass es ein Betrug ist, aber andere könnten darauf hereinfallen. Meine Frau ist vor ein paar Monaten auch darauf hereingefallen
  • Nachdem dies online geteilt wurde, beschloss jemand (ich nenne ihn S1n), sich an den Scammern zu rächen

Erste Untersuchung

  • Mit einem nmap-Scan weitere von ihnen genutzte Domains und Regionen identifiziert
  • Die Website erkundet, während der Traffic mit Burp Suite abgefangen wurde
  • Die in der Nachricht enthaltene Website scheint ein Klon der echten USPS-Website zu sein
  • Durch die Bestätigung derselben IP wurde klar, dass es sich um Scammer handelt

WebSocket-Kommunikation

  • Über WebSocket-Kommunikation werden Dateinamen gesendet und Inhalte zurückgegeben
  • Dies führte zu einer Local-File-Inclusion-(LFI)-Schwachstelle
  • Über LFI wurden weitere Informationen über die Umgebung gewonnen

Analyse der PHP-Dateien

  • Alle PHP-Dateien der Scam-Website beschafft
  • Die Dateien sind stark obfuskiert und enthalten chinesische Zeichen
  • Kommunikation erfolgt über einen Telegram-Kanal, Daten werden auf einem MySQL-Server gespeichert

Sammlung zusätzlicher Informationen

  • Über die nginx-Access-Logs die konfigurierte IP bestätigt
  • Auf Basis von Zertifikatsinformationen und IP wird vermutet, dass es sich um chinesische Scammer handelt

SQL-Injection

  • Mit einem einfachen Anführungszeichen im POST-Parameter einen Fehler ausgelöst
  • Mit SQLMap Zugriff auf die Datenbank der Scammer erhalten
  • Die Datenbank durchsucht und Informationen über die Scammer bestätigt

Untersuchung der Datenbank

  • In der Tabelle admin die Administratorinformationen der Scammer gefunden
  • In der Tabelle config die Website-Konfiguration gefunden
  • In der Tabelle userinfo detaillierte Informationen über die Opfer gefunden; 3818 Personen sind registriert
  • In der Tabelle records Informationen zur Nachverfolgung der Website-Besucher gefunden

Abschluss

  • S1n hat nicht gesagt, wie mit all diesen Beweisen verfahren wird, aber vermutlich werden die gesammelten Beweise an ein Internet Crime Center übergeben, um die Website schließen zu lassen und die Täter vor Gericht zu bringen

Verwandte Beiträge

3 Kommentare

 
xguru 2024-08-11

Solche Spam-Nachrichten mit seltsamen URLs gibt es hierzulande auch oft – ob das genauso funktionieren würde, wenn man es darauf anwendet?
 
tempus 2024-08-12

Nach inländischem Recht kann auch ein Angriff auf ausländische Server problematisch sein.
Soweit ich weiß, war das zumindest offen nur sehr eingeschränkt erlaubt.
 
GN⁺ 2024-08-10
Hacker-News-Kommentare

  • NanoBaiter: Lockt auf YouTube Betrüger an und hackt ihre Systeme, um ihren Betrieb zu stören

    • Identifiziert die Betrüger, meldet sie der Polizei und versucht, Opfern Rückerstattungen zu verschaffen
    • Führt Rückerstattungen über Stripe-Konten durch und hält Polizeirazzien per CCTV fest

  • Salt-Wert des verschlüsselten Passworts: „wangduoyu666!.+-“ wird verwendet

    • Ähnliche Benutzernamen wie „wangduoyu666“, „wangduoyu8“ und „wdy666666“ wurden gefunden
    • Über die Google-Suche könnten Konten auf GitHub, LinkedIn usw. gefunden werden
    • Auf Telegram wird ein falscher Name verwendet, wobei der Name einer chinesischen Sängerin missbraucht wird
    • Auch beim Backup-Telegram-Konto werden ähnliche Namen verwendet
    • Auf dem YouTube-Kanal wurden zahlreiche Videos hochgeladen, die erklären, wie man die chinesische Firewall umgeht

  • Ausbildung in Technikethik: Ein Informatikstudent in China verdient mit den erlernten Fähigkeiten ein Nebeneinkommen

    • Betont die Notwendigkeit von Ausbildung in Technikethik
    • Weist darauf hin, dass zwar mächtige Techniken gelehrt werden, die Ethikausbildung aber unzureichend ist

  • Smishing-Triad-Netzwerk: Verschickt weltweit bis zu 100.000 betrügerische SMS pro Tag

    • iMessage-Betrug nutzt E2EE, aber SMS-Betrug sollte erkannt werden müssen
    • Erwähnt die Notwendigkeit von Strafverfolgungsbehörden, die Cyberkriminalität effektiv bekämpfen können
    • Behauptet, die USA bräuchten eine Blue-Team-Version der NSA

  • Hacken von Cyberkriminellen: Frage, ob das Hacken von Cyberkriminellen rechtlich strafbar sein kann

    • Beschreibt eine Situation, die dem Eindringen in das Haus eines Diebes ähnelt, um gestohlene Gegenstände zurückzuholen

  • Wie man Hacker und Betrüger ignoriert: Lernt, dass es am besten ist, Hacker und Betrüger zu ignorieren

    • Sie können heftig zurückschlagen und tatsächlich gefährlich sein
    • Erwähnt einen Fall, in dem ein Freund einen Spammer gehackt hat und daraufhin dessen Server angegriffen wurde

  • Bedarf an neuer Telefon-/SMS-Infrastruktur: Betont die Notwendigkeit einer Infrastruktur, die Nummern-Spoofing verhindert und Betrugsversuche filtert

  • CFAA-Ausnahmeregelung: Fordert eine Ausnahmeregelung im CFAA für solche Situationen