Smishing kampagne med Borger.dk som lokkemad
Der kører lige nu en smishing kampagne der forsøger at lokke uforsigtigere brugere ind på domænet (saniteret)
borgeredigitaltboks[.]com.
Domænet er registreret i nat igennem NICENIC INTERNATIONAL GROUP CO og DNS hostet hos vip-dns89[.]com. Domænet translaterer til IP adressen: 193.143.1[.]45 (Russian Federation Sankt-peterburg Proton66 Ooo).
Denne server hoster også andre phishing sider. Se IoCs i bunden.
Først fiskes der MitID brugernavn og derefter CPR nummer. Hvis disse data indtastes, ændres websiden til at ligne Borger.dk, og derfra fiskes en sværm af personlige oplysninger som telefonnummer, adresse og bank samt kreditkort oplysninger.
Jeg har postet skærmdumps herunder, så man bedre kan forstå flowet og omfanget af data der videregives til it-kriminelle.
Fiskede oplysninger er lette at misbruge
Disse oplysninger kan anvendes til et utal af ondsindede handlinger. Det kunne være oprettelse af Mobilepay eller Vishing, som jo handler om at man ringer til ofret, og udgiver sig for at være en myndighed eller bank. Med alle disse oplysninger i hånden vil sådan en svindel have en langt større risiko for at virke.
SIE-Europe pDNS og IoCs
Ved at anvendes SIE-Europe pDNS kan der laves et RDATA lookup af den pågældende server, der hoster dette phishing materiale (saniteret) 193.143.1[.]45, og som giver os følgende andre (aktive og historiske) phishing domæner (saniteret)
digitai-eboks[.]com
secure-portal-gr[.]com
mitlde-boks[.]com
mitld-boksdigital[.]com
mitld-eboksdigital[.]com
mitld-digitalboks[.]com
sikkerdigital-ld[.]com
metrobank-support[.]com
three.services-bill[.]com
santander-registration[.]com
Det er åbenlyst ikke første gang at denne server har været impliceret i smishing og phishing mod MitID.
Komplet skærmdump fra SIE Europe interface med 473 historiske domæner herunder: