Śledztwo w sprawie oszustwa phishingowego podszywającego się pod akademię tradingową: od Reddita do zgłoszenia nadużycia
Junior Security Researcher natknął się na Reddicie na post o podejrzanej 'akademii tradingowej', gdzie ofiarę wciągano w drobne transakcje, a następnie próbowano wyprowadzić środki. Cel śledztwa: audyt strony begini.ltd, zebranie dowodów na infrastrukturę i zainicjowanie blokady. Wykorzystano Kali Linux (Nmap, FFUF), OSINT i Revoke.cash.
Schemat to typowy Pig Butchering:
- Przynęta: fałszywe oferty pracy lub 'darmowe szkolenia'.
- Rozgrzewka: przelewy małych kwot, by zasymulować zyski.
- Pułapka: pokazanie ekranu z podpisem Infinite Approval (ERC-20 Approve), dającym oszustom nieograniczony dostęp do tokenów portfela.
Analiza frontendu: phishing zbierający dane
W kodzie źródłowym strony znaleziono formularz rejestracyjny:
<form class="register-form" action="send.php" method="POST">
Formularz wysyła imię i nazwisko, telefon, Telegram na send.php metodą POST w postaci jawnej. Serwer odpowiada statusem 302 z natychmiastowym przekierowaniem, minimalizując czas przebywania ofiary.
W Network Tab (F12) widać nagłówki cf-cache-status i cf-ray, wskazujące na użycie Cloudflare. Dane zbierane są bez szyfrowania — klasyczny Data Harvester.
Aktywny rekonesans: Nmap i FFUF na Kali Linux
Przejście do narzędzi Kali do skanowania portów i katalogów.
Nmap: porty i usługi
Komenda nmap wykazała:
- Porty 80 (HTTP), 443 (HTTPS) otwarte.
- Certyfikat Cloudflare Inc ECC CA-3 wystawiony w lutym 2026.
- Anomalie na 8080, 8443 — możliwe panele administracyjne lub proxy.
Banner grabbing pokazał 'Crypto Trading Academy 2025' — przestarzały szablon w 2026 roku.
FFUF: fuzzing katalogów
Fuzzer ffuf znalazł:
- success.php (200, ~5KB) — 'terminal' ze skryptami JS do przekierowań.
- Endpointy PHP, potwierdzające backend w PHP.
- Zamknięte /admin/, /config/ (403 od Cloudflare).
Infrastruktura to standardowy phishing-kit w PHP za Cloudflare z niestandardowymi portami i śladami pośpiechu.
Przygotowanie zgłoszenia nadużycia i blokada
Zebrano dossier: zrzuty ekranu, logi Network, wyniki Nmap/FFUF. Wysłano zgłoszenie do Cloudflare (Report ID: 6d27e144bc7f8061). Otrzymano potwierdzenie incydentu, infrastruktura zaczęła być wyłączana.
Co ważne:
- Infinite Approval w ERC-20 — główny wektor kradzieży tokenów; sprawdzaj uprawnienia przez Revoke.cash.
- Cloudflare nie blokuje phishingu automatycznie — zgłoszenia nadużyć są skuteczne.
- Nietypowe porty (8080/8443) często zdradzają panele admina w phishing-kitach.
- FFUF i Nmap — podstawowy zestaw do analizy infrastruktury oszustw.
- Przestarzałe szablony (lata w bannerach) — marker masowych kampanii.
Zalecenia dla specjalistów middle/senior
Przy audycie podobnych schematów:
- Używaj FFUF z wordlistą typu common.txt do katalogów.
- Nmap z -sC -sV do skryptów i wersji.
- Sprawdzaj Network na ruch plaintext.
- Zapisuj cf-ray do śledzenia w zgłoszeniach.
Całkowita objętość dowodów przekroczyła 10 MB zrzutów ekranu i logów, co przyspieszyło reakcję dostawcy.
— Editorial Team
Brak komentarzy.