En kväll som cyberdetektiv
Augusti är här och vi alla börjar återgå till vardagen efter en förhoppningsvis mysig semester. Jag tänker därför att det är på sin plats att berätta en liten historia från min sommar, om min undersökning i ett phishing-email som jag fick en sen natt i juni.
Jag fick ett fint mail sent på kvällen som informerade mig om att mitt köp av *ospecificerad produkt* för $64.064 hade gått igenom. Kvittot fanns hjälpsamt nog bifogat som både PDF- och HTML-filer! Men som otur var så var PDF-filen suddig så man kunde inte se vilken fantastisk produkt jag köpt i min sömn, bara att det var från ett spa i Shanghai. Attans!! Jag antar att jag får kolla om HTML-filen ger lite klarhet. Till min stora förvåning så klagade varken Outlook, Chrome eller Windows Defender på filen vilket ökade min nyfikenhet. Innan jag öppnade den i Chrome så öppnade jag den i Notepad som innehöll ett formulär vilket laddades in via javascript genom att bland annat köra unescape på en string, detta var tydligen nog för att lura Outlook som annars är duktig på att rensa ut dessa typer av mail.
Efter att ha tagit bort alla requests i koden till andra hemsidor öppnade jag den i Chrome vilket visade mig ett ganska amatörmässigt men ändå helt OK formulär som efterliknade One Drive och förklarade att jag var tvungen att logga in för att ladda ner mitt 0.95MB stora kvitto. Jag undersökte vad det var för sida som denna information skickades till och det verkade bara vara någon random sida, uppsatt med ett ganska basic Wordpress-tema av en glad kvinna vid namnet Dawn. Hon var, enligt henne själv, en fantastisk Digital Marketer! (Dawn verkar dock va en mångsidig entreprenör för jag hittade ca 150 olika LinkedIn profiler med hennes profilbild och olika yrkesområden).
Trots att Dawn är amerikan så har hon sin domän registrerad i Lettland där även hennes server hostas av ett företag registrerat i Kina. Efter att ha tittat runt började jag intressera mig för vad hduiao (ett ord i slugen till endpointen som tog emot datan var), enligt Google skulle det kunna betyda 和对奥 som betyder “och till Österrike” på kinesiska. Denna ledtråd ledde ingenstans men hjälpsamt nog så fick jag en directory view av allt i katalogen om jag gick in på https://sketchysida.com/hduiao där fanns 3 filer go.php, process.php och reportexcel.php. Till min stora glädje fanns också en .zip fil med alla dessa filer i trädet och det gick jättefint att ladda ner dessa, övertygad om att detta inte var ett misstag i deploy utan bara att Dawn är ett stort fan av open source och kollaborativ kodning, något jag själv uppskattar djupt och därför bestämde mig för att ta en titt. När jag försökte extrahera dessa PHP-filer så vaknade dock Windows Defender till liv och varnade för en trojan i en av filerna, min nyfikenhet var dock lite för stor vid detta lag så jag bestämde mig för att öppna en VM för att undersöka koden som körs backend.
Koden, som förmodligen inte skulle ha passerat igenom en Code Review, såg ungefär ut som något jag själv hade knåpat ihop när jag var runt 15 år, men ändå en hel del fiffiga lösningar får man ändå säga. De hämtade ens information baserat på IP med https://www.geoplugin.com/ API, sen extraherade de en del annan information som användarnamn, lösenord och vilket land man är ifrån. Hur samlades denna data in kan man fråga sig och till vem går det? Ett avancerat tracking-API som samlar all ens information och övervakar en över hela webben? Eller det kanske skickas till någon stat som söker underminerande information på sina fiender? Nope, det mailar allt ihop till en random mailadress från den ryska mailleverantören Yandex. Kontot har användarnamn chinaresults44, något som var hårdkodat direkt in i reportexcel.php filen. Det står i en kommentar i koden att mailet var krypterat med “SIrPascal”, men någon sån kryptering såg jag inte av och dessutom vet jag inte ens vad det är.
Jag kunde inte hitta något online om denna email så dessvärre tog mitt lilla detektivarbete slut där men det var förvånansvärt roligt att få lite insyn i vad som pågår i backend ibland och att dessa ryska eller kinesiska hackers inte är alltid är så sofistikerade som man föreställer sig.