Zpět na domů

Vyšetřování phishingu begini.ltd s Nmap FFUF

Security researcher rozebral phishingovou schému begini.ltd: od Pig Butchering s Infinite Approval po skenování Nmap/FFUF. Objeveny PHP-endpointy, nestandardní porty a Cloudflare. Abuse report vedl k blokování infrastruktury.

Odhalení phishingu: od Reddit po blokování Cloudflare
Advertisement 728x90

Odhalení podvodné phishingové kampaně maskované jako obchodní akademie: od Redditu k hlášení zneužití

Junior Security Researcher narazil na Reddit na příspěvek o podezřelé 'obchodní akademii', kde oběť byla vtažena do malých swapů a poté se pokusili o výběr prostředků. Cíl šetření: audit webu begini.ltd, sběr důkazů o infrastruktuře a zahájení blokace. Použity Kali Linux (Nmap, FFUF), OSINT a Revoke.cash.

Schéma — typický Pig Butchering:

  • Návnada: falešné pracovní nabídky nebo 'bezplatné školení'.
  • Zahřívání: převod malých částek k simulaci zisku.
  • Past: ukázka obrazovky s podpisem Infinite Approval (ERC-20 Approve), který podvodníkům dává neomezený přístup k tokenům peněženky.

Analýza frontendu: phishingový sběr dat

Ve zdrojovém kódu webu nalezen registrační formulář:

Google AdInline article slot
<form class="register-form" action="send.php" method="POST">

Formulář odesílá jméno, telefon, Telegram na send.php metodou POST v otevřené podobě. Server odpovídá statusem 302 s okamžitým přesměrováním, minimalizuje čas pobytu oběti.

V Network Tab (F12) viditelné hlavičky cf-cache-status a cf-ray, ukazující na použití Cloudflare. Data sbírána bez šifrování — klasický Data Harvester.

Aktivní průzkum: Nmap a FFUF na Kali Linux

Přechod k nástrojům Kali pro skenování portů a adresářů.

Google AdInline article slot

Nmap: porty a služby

Příkaz nmap odhalil:

  • Porty 80 (HTTP), 443 (HTTPS) otevřené.
  • Certifikát Cloudflare Inc ECC CA-3 vydán v únoru 2026.
  • Anomálie na 8080, 8443 — možné admin panely nebo proxy.

Banner grabbing ukázal 'Crypto Trading Academy 2025' — zastaralá šablona v roce 2026.

FFUF: fuzzing adresářů

Fuzzer ffuf našel:

Google AdInline article slot
  • success.php (200, ~5KB) — 'terminál' s JS skripty pro přesměrování.
  • PHP endpointy, potvrzující backend na PHP.
  • Uzavřené /admin/, /config/ (403 od Cloudflare).

Infrastruktura — standardní PHP phishing kit za Cloudflare s nestandardními porty a stopami spěchu.

Vytvoření hlášení zneužití a blokace

Shromážděno dossier: screenshoty, logy Network, výsledky Nmap/FFUF. Odesláno hlášení do Cloudflare (Report ID: 6d27e144bc7f8061). Potvrzení incidentu obdrženo, infrastruktura začala být vypínána.

Co je důležité:

  • Infinite Approval v ERC-20 — hlavní vektor krádeže tokenů; kontrolujte povolení přes Revoke.cash.
  • Cloudflare neblokuje phishing automaticky — hlášení zneužití jsou efektivní.
  • Neobvyklé porty (8080/8443) často prozrazují admin panely v phishing kitu.
  • FFUF a Nmap — základní stack pro reverzní inženýrství infrastruktury podvodu.
  • Zastaralé šablony (roky v banneru) — marker masových kampaní.

Doporučení pro middle/senior specialisty

Při auditu podobných schémat:

  • Použijte FFUF s wordlist typu common.txt pro adresáře.
  • Nmap s -sC -sV pro skripty a verze.
  • Kontrolujte Network na plaintextový provoz.
  • Zaznamenávejte cf-ray pro sledování v hlášení zneužití.

Celkový objem důkazů přesáhl 10 MB screenshotů a logů, což urychlilo reakci poskytovatele.

— Editorial Team

Advertisement 728x90

Číst dál