אזהרה: מיילים פישינג לגנבת פרטי חיבור לסיפאנל

לאחרונה יש בעיה נרחבת לניסיונות דיוג(פישינג) לגנבת חשבונות סיפאנל הבעיה היא עולמית ולא רק אצלנו, אלא להמון חברות אחסון המציעות אחסון אתרים על גבי סיפאנל נשלח אימייל לבעל האתר שנראה כאילו הוא מהגיע מ -cPanel, המציין שהחשבון שלך קרוב למגבלת שטח הדיסקשלו.

האימייל מכיל קישור אחד או יותר לאתר דיוג, אשר משכפל את דף הכניסה של cPanel.

לאחר שהזנת פרטי הכניסה של cPanel הם נשמרים על ידי שולחי דואר זבל, והמשתמש מופנה ל-cPanel האמיתי, ונכנס בצורה נכונה, כך המשתמש לא שם לב לכלום.

בואו נראה בדיוק איך זה עובד ואיך אנחנו יכולים להתגונן מפני זה.

מה זה פישינג?

פישינג (במקרה הספציפי הזה התחזות cPanel) היא הונאה שמתרחשת באינטרנט. בסוג זה של הונאה, הרמאי מנסה להערים על הקורבן למסור לו מידע אישי.

זה מושג על ידי שליחת המשתמש לדף התחברות שנראה זהה לדף ההתחברות האמיתי.

לעתים קרובות, כמו במקרה זה, נשלח מייל המציין בעיה שיש לפתור.

המשתמש התמים לוחץ על הקישור במייל ומופנה לדף התחברות זהה לזה שהמשתמש משמש לכניסה אליו.

המשתמשת מכניסה את נתוני ההתחברות שלה, שנשמרים על ידי האקר, ומועברת לשירות האמיתי ונכנסת, כדי שלא יבינו שהנתונים שלו התגלו.

מה קורה בימים אלו? ניסיונות דיוג של cPanel

הונאות כאלה כבר התרחשו בעבר, שם שולחי דואר זבל שלחו מיילים כדי לבצע דיוג של חשבונות אחסון של cPanel.

הפעם, אם לשפוט לפי מספר המיילים שמצאנו ומספר אנשי הקשר שקיבלנו מלקוחותינו, יש לנו סיבה להאמין שמדובר במתקפה גדולה.

• מיילים נשלחים בעיקר לכתובת info@domain.com
• הודעות דואר אלקטרוני אינן מזוהות על ידי תוכנת אנטי ספאם.
• האתר שאוסף את הנתונים תמיד שונה.
• השרתים ששולחים את הספאם תמיד שונים.
• זהו קמפיין שנעשה בקפידה, אנחנו חושבים שיש צוות מאחוריו, והם צפויים לעשות בעיות גדולות בקרוב.

במקרה הספציפי הזה המשתמש מקבל מייל בסגנון כזה

הלינק במייל מסווה, אך למעשה מדובר על לינק פקטיבי לגישה לאתר הפישינג של האקר!

כפי שאנו יכולים לראות, כתובת האתר אינה קשורה לאתר של המשתמש.

אם נבדוק היטב נוכל לראות שבעצם מדובר באתר פרוץ המשמש לפישינג.

האסימון אינו אלא base64 של כתובת האתר. זה משמש לניתוב מחדש של המשתמש לאחר שליחת נתוני הכניסה, על מנת לאפשר את הכניסה בלוח הבקרה האמיתי.

אם נלחץ על הקישור, המשתמש יופנה לדף הכניסה המזויף:

עמוד זה זהה לדף cPanel, הדרך היחידה לדעת אם זה העמוד האמיתי או לא היא לבדוק את שורת הכתובת.

במקרה זה אנו רואים כתובת שאין לה שום קשר לאתר שלנו.

אם למעשה אתה רוצה להתחבר ל-CPanel של שלנו, הקישור ל-cpanel יהיה domain.com:2083 כאשר domain.com הוא שם הדומיין שלך.

או בהתאם לHostname המדוייקים שנשלחו במייל לאחר רכישת השירות.

התוכן של מיילים אלה

בוא נראה איך המיילים האלה מוגדרים, ככה אתה יודע שאם אתה מקבל מייל כזה זה כנראה ספאם.

עד כה המיילים שנתקלנו בהם היו כולם זהים, ההבדל היחיד הוא אחוז שטח משומש מעט שונה, וכמובן שם דומיין שונה.

אך כתובת המייל זהה - 

[ domain.com ] WARNING The domain "domain.com" has reached their disk quota.

תוכן המייל הוא בדומה לתוכן הבא - 

Disk quota notification for "domain.com".

The domain "domain.com" has reached their disk quota.

The account currently uses 98.86% of its disk capacity.

You should follow the link bellow to auto extend your disk capacity for free as soon as possible in order to prevent the loss of any files and future emails. Use the Disk Capacity tool at https://domain.com:2083/?goto_app=DiskCapacity.

The system generated this notice on 2022/3/23 15:48:53.

You can disable the "User Disk Usage Warning" type of notification through the cPanel interface: https://domain.com:2083/?goto_app=ContactInfo_Change

Do not reply to this automated message.

אם קיבלת מיילים עם טקסט שונה, הודע לצוות שלנו בכרטיס תמיכה באזור האישי

כיצד להתגונן מפני פישינג

דיוג מכוון למשתמש חסר הניסיון, או למשתמש המנוסה אך מוסחת דעתו.

לצערנו תופעה זו נפוצה מאוד, מעת לעת אנו מקבלים מיילים על בעיות בפייפאל, בכרטיס אשראי, בחשבון הבנק וכדומה.

ההגנה על עצמך מפני ההונאות המקוונות הללו היא קלה מאוד, רק אל תלחץ על אף אחד מהקישורים שנכנסים בדוא"ל ללא בירור מול אותו בית עסק.

קיבלתם מייל המציין בעיה וקישור לפתרון?

ייתכן שמדובר באימייל לגיטימי, כמו גם בדוא"ל פישינג.

במקום ללחוץ על הקישור בדוא"ל כדי לבדוק מה קרה, היכנס ל-cPanel דרך האזור האישי אצלנו כפי שאתה עושה בדרך כלל מלוח הבקרה שלך וודא אם זו בעיה אמיתית או אם זה היה רק דואר זבל שמנסה לגנוב את פרטי הכניסה שלך..

מה לעשות אם הזנתי את נתוני ההתחברות שלי בקישור פישינג?

אם הזנת את נתוני הכניסה שלך בלי לחשוב, נוכל לתקן את זה.

הדבר הראשון שצריך לעשות הוא לשנות את סיסמת cPanel וליצור קשר עם התמיכה שלנו.

זה יבטיח שאף אחד לא יוכל לגשת לחשבון שלך בעתיד.

עד כה, אף חשבונות לקוחות לא נפרצו, כך שאיננו יודעים בדיוק כיצד שולחי הספאם הללו ישתמשו בפרטי ההתחברות שלך בעתיד.

הם עשויים להיות מעוניינים להשתמש בחשבונות אלה כדי לשלוח יותר דואר זבל ולעשות יותר דיוג. כך הנפח של התופעה הזו יהיה מרשים.

הם עשויים להתעניין בחיפוש במסד הנתונים במקרה של אתרי מסחר אלקטרוני, לקחת את כל הנתונים של לקוחות משלמים ולהמשיך בפעולות לא חוקיות אחרות.

למרבה הצער אנחנו לא יודעים בוודאות, הדבר היחיד שאנחנו יכולים לעשות כרגע הוא להימנע מטעויות ולהגן על עצמנו: לא לתת להם שום נתוני גישה.

באם קיבלתם מייל זה ואינכם בטוחים אם הוא קשור לחשבונכם - יש לפנות אלינו בכרטיס תמיכה באזור האישי או להתקשר אלינו.
אם הזנתם פרטים של הכניסה של הסיפאנל שלכם בקישור דומה יש ליצור קשר עם התמיכה שלנו לבדוק באם המייל הינו לגטימי או מדובר בפישינג.

סיכום

ראינו שקיים קמפיין SPAM/דיוג שנראה שיש לו מימדים חשובים.

אם לא נזהר, ייתכן שבטעות אנו נותנים גישה לחשבון cPanel שלנו לאנשים זדוניים.

אנחנו לא בטוחים מה המטרה של האנשים האלה.

עם זאת, אנו בטוחים שמדובר בקמפיין גדול שיש לו פוטנציאל לגרום נזק גדול.

האם קיבלת אחד מהמיילים האלה? האם הטקסט תאם את מה שרשמנו בכתבה? הודע לצוות התמיכה שלנו!

שווה לקרוא