Heute kam ein neuer Phisch. Per SMS(!). Sah wieder echt aus, die spoofen den Absender und verwenden erneut echte Bestandsdaten aus dem Leak/Hack von früher in diesem Jahr.
Das gefällt mir gar nicht. Zum einen ist es nicht cool, wenn Angreifer eine Handynummer haben, und über diese später z.B. auch 2fa via SIM Replacement Angriffe attackieren könnten. Wer denkt, ein high value target zu sein, sollt die bei Ledger geleakte Nummer auswechseln bzw. nicht mehr für 2fa (zwei-Faktor-auth, z.B. SMS TAN oder ähnliches) einsetzen.
Wie dem auch sei, ich war neugierig und wollte dieses Mal vielleicht schnell genug sein und ein Malware-Sample ergattern. Also habe ich ein Burner Laptop genommen und bin mit dem auf die de-ledger.com gegangen. Dort erwartet einen ein optisch gut und technisch schlecht gemachtes Tool zum Abgreifen der Seed Phrase (n Wörter recovery).
Die Domain ist perfide, sieht aus wie Ledger mit ein paar Sonderzeichen.
Man soll seinen Ledger anschließen, um ein Firmware Update zu machen oder so. Ich hatte schon einen burner Ledger nano S zurechtgelegt - dann ging die Animation einfach weiter. Es sei ein Fehler aufgetreten usw. blah. und man soll die words eingeben. Wie LANGWEILIG! Die hätten sich schon die Mühe machen können, eine trojan Firmware zu bauen. 🙄
Habe ihnen dann mal "Fuck you scammers nobody falls for your shit you morons fuck off" als Seed gepostet. Das sei ungültig sagte die Phishing Seite. Habe ihnen noch einen Seed aus dem BIP39 Generator vorgeworfen, selbe Meldung. Wie müde.
Nun könnte man theoretisch versuchen, um Phish code eine SQL Injection oder code execution zu finden und den phish Server anzugreifen. Aber wenn die sich keine Mühe geben, mach ich mir auch keine 👎
Wenn jemandem langweilig ist, könnt dieser das Formular dort mit curl im Loop mit so vielen Threads wie gehen von so vielen IPs wie zur Verfügung stehen mit random BIP39 codes flooden, bis die Platte dort voll ist. Das hätte irgendwie Stil.
Use your brain, fallt nicht auf Bullshit rein. Bei Phishing und bei "Massnahmen gegen die Pandemie" ;-)