Elektron Təhlükəsizlik Xidmətinin (ETX) apardığı monitorinq zamanı Telegram üzərindən həyata keçirilən fişinq hücumu ilə bağlı texniki nəticələr əldə edilib.

Bu barədə "APA-Economics"ə ETX-dən bildirilib.

Məlumata görə, aparılan təhlillər nəticəsində hücumda istifadə olunan infrastrukturun sxematik təsviri hazırlanıb, IP ünvanlar və yönləndirmə zəncirləri müəyyənləşdirilib, həmçinin hesabların ələ keçirilməsi prosesinə dair ətraflı məlumat əldə olunub.

İlk şübhəli domen

Araşdırma Xidmət tərəfindən əldə olunmuş mesajların birində qeyd olunan “12320sw[.]com” ünvanlı domen ilə başlayır. Domen "156[.]251[.]247[.]206" IP ünvanına "resolve” olunur (AS40065, CNSERVERS LLC). Bu IP birbaşa hər hansı məzmun təqdim etmir, əksinə istifadəçini "p726exa[.]eu[.]cc" domen adına yönləndirir. Həmin domen isə eyni şəbəkədə yerləşən "156[.]251[.]247[.]204" IP ünvanına "resolve" olunur.

Yönləndirmə zəncirlərinə dair məlumatlar və hesabların ələ keçirilməsi prosesi

IP ünvanların araşdırılması nəticəsində digər anoloji “.com” domenləri aşkar edilib. Sözügedən domenlərə keçid etdiyimiz zaman digər “p726***.eu.cc” domenlərə keçidlər baş verir.

Bir neçə “.com” və “.eu.cc” domenlərin “resolve” olunduğu IP ünvanlara diqqət yetirdiyimiz zaman fişinq hücumun ümumi zənciri və müəyyən qanunauyğunluq müşahidə edilib:

• “12319ar[.]com”, “12320se[.]com”, “966575[.]com”, “796676[.]com”, “play-zotysports[.]com” və digər anoloji domenlər 156[.]251[.]247[.]206 ünvanına “resolve” olunur;
• Hər biri təsadüfi formalaşdırılmış “p726***.eu.cc” subdomenlərinə yönləndirilirdi;
• “p726***.eu.cc” domenləri fişinq məzmunun yerləşdirilməsi üçün istifadə olunur və bu domenlərin hamısı 156[.]251[.]247[.]204 ünvanında yer alır.

İstifadəçilərin yönləndirildiyi səhifənin kod hissəsinə baxış keçirilən zaman, orada çin dilində şərhlərin mövcudluğu aşkar olunub.