Hackeando de volta os golpistas do SMS da USPS

 (blog.smithsecurity.biz)
4 pontos por GN⁺ 2024-08-10 | 3 comentários | Compartilhar no WhatsApp
  • Recebeu um texto de golpe de um número aleatório: "Seu pacote da USPS chegou, mas não pode ser entregue devido a um erro no endereço. Clique no link abaixo para confirmar o endereço..."
  • Percebeu imediatamente que era golpe, mas outras pessoas podem cair nisso. A esposa dele também caiu há alguns meses
  • Ao compartilhar isso em um canal online, alguém (chamado de S1n) decidiu se vingar dos golpistas

Investigação inicial

  • Usou uma varredura com nmap para identificar mais domínios e regiões usados por eles
  • Explorou o site interceptando o tráfego com o Burp Suite
  • O site incluído na mensagem parecia ser um clone do site real da USPS
  • Confirmou o mesmo IP e teve certeza de que eram golpistas

Comunicação por WebSocket

  • Pela comunicação via WebSocket, enviava-se o nome do arquivo e recebia-se o conteúdo de volta
  • Isso levou a uma vulnerabilidade de inclusão de arquivo local (LFI)
  • Com o LFI, obteve mais informações sobre o ambiente

Análise dos arquivos PHP

  • Obteve todos os arquivos PHP do site de golpe
  • Os arquivos estavam fortemente ofuscados e continham caracteres chineses
  • Comunicavam-se por um canal do Telegram e armazenavam dados em um servidor MySQL

Coleta adicional de informações

  • Identificou o IP de configuração por meio dos logs de acesso do nginx
  • Com base nas informações do certificado e no IP, estimou que eram golpistas chineses

Injeção de SQL

  • Provocou um erro usando aspas simples em um parâmetro POST
  • Usou o SQLMap para acessar o banco de dados dos golpistas
  • Explorou o interior do banco e identificou informações sobre os golpistas

Explorando o banco de dados

  • Na tabela admin, encontrou as informações administrativas dos golpistas
  • Na tabela config, encontrou as informações de configuração do site
  • Na tabela userinfo, encontrou informações detalhadas das vítimas. Havia 3818 pessoas registradas
  • Na tabela records, encontrou informações de rastreamento dos visitantes do site

Encerramento

  • S1n não disse como lidaria com todas essas evidências, mas provavelmente as entregará ao centro de combate a crimes na internet para derrubar o site e fazer com que respondam perante a lei

Leituras relacionadas

3 comentários

 
xguru 2024-08-11

Aqui também tem muitas mensagens de spam enviando URLs estranhas assim; será que daria para aplicar a mesma coisa?
 
tempus 2024-08-12

Pela legislação coreana, até mesmo ataques a servidores no exterior podem gerar problemas legais.
Pelo menos em ambientes públicos, até onde sei, isso só era permitido de forma extremamente limitada.
 
GN⁺ 2024-08-10
Opinião do Hacker News

  • NanoBaiter: no YouTube, atrai golpistas e invade seus sistemas para atrapalhar a operação deles

    • identifica os golpistas, denuncia à polícia e tenta conseguir reembolsos para as vítimas
    • faz reembolsos por meio de contas da Stripe e captura em CCTV cenas de batidas policiais

  • Salt de senhas criptografadas: foi usado "wangduoyu666!.+-"

    • foram encontrados nomes de usuário semelhantes como "wangduoyu666", "wangduoyu8" e "wdy666666"
    • por meio de buscas no Google, pode ser possível encontrar contas no GitHub, LinkedIn e outros serviços
    • no Telegram, usa nomes falsos e se passa pelo nome de uma cantora chinesa
    • também usa nomes parecidos em contas de backup no Telegram
    • o canal no YouTube tem vários vídeos explicando como contornar o firewall da China

  • Educação em ética tecnológica: um estudante chinês de ciência da computação está usando o que aprendeu para ganhar uma renda extra

    • destaca a necessidade de ensinar ética em tecnologia
    • aponta que se ensinam tecnologias poderosas sem formação suficiente em ética

  • Rede Smishing Triad: envia até 100 mil mensagens de golpe por dia para o mundo todo

    • golpes via iMessage usam e2ee, mas golpes por SMS deveriam ser detectados
    • menciona a necessidade de órgãos de segurança pública capazes de lidar com cibercrime de forma eficaz
    • defende que os EUA precisam de uma versão Blue Team da NSA

  • Hackear cibercriminosos: pergunta se hackear cibercriminosos pode gerar punição legal

    • descreve uma situação semelhante a invadir a casa de um ladrão para recuperar algo roubado

  • Como ignorar hackers e golpistas: aprende-se que o melhor é ignorar hackers e golpistas

    • eles podem revidar com força e, na prática, também podem ser perigosos
    • menciona o caso de um amigo que hackeou spammers e acabou tendo o servidor atacado

  • Necessidade de uma nova infraestrutura de telefonia/mensagens: enfatiza a necessidade de uma infraestrutura que impeça spoofing de números e filtre tentativas de golpe

  • Cláusula de exceção no CFAA: defende que o CFAA precisa de uma cláusula de exceção para esse tipo de situação