Odhalení podvodné phishingové kampaně maskované jako obchodní akademie: od Redditu k hlášení zneužití
Junior Security Researcher narazil na Reddit na příspěvek o podezřelé 'obchodní akademii', kde oběť byla vtažena do malých swapů a poté se pokusili o výběr prostředků. Cíl šetření: audit webu begini.ltd, sběr důkazů o infrastruktuře a zahájení blokace. Použity Kali Linux (Nmap, FFUF), OSINT a Revoke.cash.
Schéma — typický Pig Butchering:
- Návnada: falešné pracovní nabídky nebo 'bezplatné školení'.
- Zahřívání: převod malých částek k simulaci zisku.
- Past: ukázka obrazovky s podpisem Infinite Approval (ERC-20 Approve), který podvodníkům dává neomezený přístup k tokenům peněženky.
Analýza frontendu: phishingový sběr dat
Ve zdrojovém kódu webu nalezen registrační formulář:
<form class="register-form" action="send.php" method="POST">
Formulář odesílá jméno, telefon, Telegram na send.php metodou POST v otevřené podobě. Server odpovídá statusem 302 s okamžitým přesměrováním, minimalizuje čas pobytu oběti.
V Network Tab (F12) viditelné hlavičky cf-cache-status a cf-ray, ukazující na použití Cloudflare. Data sbírána bez šifrování — klasický Data Harvester.
Aktivní průzkum: Nmap a FFUF na Kali Linux
Přechod k nástrojům Kali pro skenování portů a adresářů.
Nmap: porty a služby
Příkaz nmap odhalil:
- Porty 80 (HTTP), 443 (HTTPS) otevřené.
- Certifikát Cloudflare Inc ECC CA-3 vydán v únoru 2026.
- Anomálie na 8080, 8443 — možné admin panely nebo proxy.
Banner grabbing ukázal 'Crypto Trading Academy 2025' — zastaralá šablona v roce 2026.
FFUF: fuzzing adresářů
Fuzzer ffuf našel:
- success.php (200, ~5KB) — 'terminál' s JS skripty pro přesměrování.
- PHP endpointy, potvrzující backend na PHP.
- Uzavřené /admin/, /config/ (403 od Cloudflare).
Infrastruktura — standardní PHP phishing kit za Cloudflare s nestandardními porty a stopami spěchu.
Vytvoření hlášení zneužití a blokace
Shromážděno dossier: screenshoty, logy Network, výsledky Nmap/FFUF. Odesláno hlášení do Cloudflare (Report ID: 6d27e144bc7f8061). Potvrzení incidentu obdrženo, infrastruktura začala být vypínána.
Co je důležité:
- Infinite Approval v ERC-20 — hlavní vektor krádeže tokenů; kontrolujte povolení přes Revoke.cash.
- Cloudflare neblokuje phishing automaticky — hlášení zneužití jsou efektivní.
- Neobvyklé porty (8080/8443) často prozrazují admin panely v phishing kitu.
- FFUF a Nmap — základní stack pro reverzní inženýrství infrastruktury podvodu.
- Zastaralé šablony (roky v banneru) — marker masových kampaní.
Doporučení pro middle/senior specialisty
Při auditu podobných schémat:
- Použijte FFUF s wordlist typu common.txt pro adresáře.
- Nmap s -sC -sV pro skripty a verze.
- Kontrolujte Network na plaintextový provoz.
- Zaznamenávejte cf-ray pro sledování v hlášení zneužití.
Celkový objem důkazů přesáhl 10 MB screenshotů a logů, což urychlilo reakci poskytovatele.
— Editorial Team
Zatím žádné komentáře.