Durnių ieškojimas arba phišingas 2 2020.06.17 at 14:21

Dar vienas tipiškas durnių ieškojimo atvejis. Gaunu į el. paštą failiuką, kuį Windows’ai atpažįsta kaip Internetinį puslapį – natūralu, nes galūnė *.htm. Bet mes ne Windows’ai, turim šiokias tokias smegenėles, tai jungiam jas ir, prisiminę, ko mokytojai mokė kokioj 4 klasėj, bandom skaityti visą failo pavadinimą „DC0048896-Order0978 .xlsx.htm“. O kas čia per monai 🙂 ? Dviguba galūnė :). Senas geras bajeris, kai dar Windows ’95 laikais naudodavom tokias dvigubas galūnes virusiukam slėpti – Windows atpažįsta failą pagal paskutinę galūnę, tai galvotum „ką blogo gali padaryti Internetinis puslapis ?“. Ir drąsiai spaudi ENTER arba spragsi su pele. To tik ir reikia, pats nesuprastum, kad jau prisispragsėjai – nors ir paveiksliukas būtų Enternet Explorerio, ar EDGE, ar Mozilla, ar FF, bet esmė slepiasi dar ir tame xlsx, o tai jau Excel failas, kuriame gali gyventi kenkėjiška makroprograma, parašyta VBA. Kompas nuo jos nesusprogs, bet nervų pagadint gali, taigi – JOKIŲ FAILŲ SU DVIGUBA GALŪNE ATIDARINĖTI NEGALIMA. Žodžiu bandom atidaryti ir pažiūrėti kas viduje. O viduje vaizdas toks:

Vaizdelis pasididina

Iš šitų kripučių nieko protingo pasakyt neišeis, viskas užkoduota. Bet žūūūrim tikrai įdėmiai ir matom daug daug „%“ ženklų, o taip koduojamas tekstas URL adresuose. Šyptelnam į ūsą (nors ir neturim ūsų!) ir sumurmam „kakeri tu kakeri…“. Imam pirmą pasitaikiusį HTML dekoderį ir gaunam tokį vaizdelį:

Žymiai panašiau į žmonėms suprantamą kalbą ;). Daug analizuoti patingėjau, užmečiau akį į programą, biškį pasilazdavojau, o kam įdomu – čia yra programos kodas, kurį drąsiai galima atsidaryti su Notepad’u ir analizuoti. Pradžia gera, toliau bus dar kripučių, ten Excel failo gabalas, kurį prie gerų norų būtų galima perkompiliuoti į Excel failą ir atsidaryti pažiūrėti kas ten. Žiūrėjau, nieko labai įdomaus – tradiciškai, forma, kurioje prašoma įvesti savo prisijungimo duomenis.

Leave a Reply

*