Powrót do strony głównej

Badanie phishingu begini.ltd za pomocą Nmap FFUF

Security researcher rozpracował schemat phishingowy begini.ltd: od Pig Butchering z Infinite Approval do skanowania Nmap/FFUF. Odkryto punkty końcowe PHP, niestandardowe porty i Cloudflare. Raport Abuse doprowadził do blokady infrastruktury.

Demaskowanie phishingu: od Reddit do blokady Cloudflare
Advertisement 728x90

Śledztwo w sprawie oszustwa phishingowego podszywającego się pod akademię tradingową: od Reddita do zgłoszenia nadużycia

Junior Security Researcher natknął się na Reddicie na post o podejrzanej 'akademii tradingowej', gdzie ofiarę wciągano w drobne transakcje, a następnie próbowano wyprowadzić środki. Cel śledztwa: audyt strony begini.ltd, zebranie dowodów na infrastrukturę i zainicjowanie blokady. Wykorzystano Kali Linux (Nmap, FFUF), OSINT i Revoke.cash.

Schemat to typowy Pig Butchering:

  • Przynęta: fałszywe oferty pracy lub 'darmowe szkolenia'.
  • Rozgrzewka: przelewy małych kwot, by zasymulować zyski.
  • Pułapka: pokazanie ekranu z podpisem Infinite Approval (ERC-20 Approve), dającym oszustom nieograniczony dostęp do tokenów portfela.

Analiza frontendu: phishing zbierający dane

W kodzie źródłowym strony znaleziono formularz rejestracyjny:

Google AdInline article slot
<form class="register-form" action="send.php" method="POST">

Formularz wysyła imię i nazwisko, telefon, Telegram na send.php metodą POST w postaci jawnej. Serwer odpowiada statusem 302 z natychmiastowym przekierowaniem, minimalizując czas przebywania ofiary.

W Network Tab (F12) widać nagłówki cf-cache-status i cf-ray, wskazujące na użycie Cloudflare. Dane zbierane są bez szyfrowania — klasyczny Data Harvester.

Aktywny rekonesans: Nmap i FFUF na Kali Linux

Przejście do narzędzi Kali do skanowania portów i katalogów.

Google AdInline article slot

Nmap: porty i usługi

Komenda nmap wykazała:

  • Porty 80 (HTTP), 443 (HTTPS) otwarte.
  • Certyfikat Cloudflare Inc ECC CA-3 wystawiony w lutym 2026.
  • Anomalie na 8080, 8443 — możliwe panele administracyjne lub proxy.

Banner grabbing pokazał 'Crypto Trading Academy 2025' — przestarzały szablon w 2026 roku.

FFUF: fuzzing katalogów

Fuzzer ffuf znalazł:

Google AdInline article slot
  • success.php (200, ~5KB) — 'terminal' ze skryptami JS do przekierowań.
  • Endpointy PHP, potwierdzające backend w PHP.
  • Zamknięte /admin/, /config/ (403 od Cloudflare).

Infrastruktura to standardowy phishing-kit w PHP za Cloudflare z niestandardowymi portami i śladami pośpiechu.

Przygotowanie zgłoszenia nadużycia i blokada

Zebrano dossier: zrzuty ekranu, logi Network, wyniki Nmap/FFUF. Wysłano zgłoszenie do Cloudflare (Report ID: 6d27e144bc7f8061). Otrzymano potwierdzenie incydentu, infrastruktura zaczęła być wyłączana.

Co ważne:

  • Infinite Approval w ERC-20 — główny wektor kradzieży tokenów; sprawdzaj uprawnienia przez Revoke.cash.
  • Cloudflare nie blokuje phishingu automatycznie — zgłoszenia nadużyć są skuteczne.
  • Nietypowe porty (8080/8443) często zdradzają panele admina w phishing-kitach.
  • FFUF i Nmap — podstawowy zestaw do analizy infrastruktury oszustw.
  • Przestarzałe szablony (lata w bannerach) — marker masowych kampanii.

Zalecenia dla specjalistów middle/senior

Przy audycie podobnych schematów:

  • Używaj FFUF z wordlistą typu common.txt do katalogów.
  • Nmap z -sC -sV do skryptów i wersji.
  • Sprawdzaj Network na ruch plaintext.
  • Zapisuj cf-ray do śledzenia w zgłoszeniach.

Całkowita objętość dowodów przekroczyła 10 MB zrzutów ekranu i logów, co przyspieszyło reakcję dostawcy.

— Editorial Team

Advertisement 728x90

Czytaj dalej