معلومات عن موقع ينتحل صفحة وزارة الداخلية السعودية لتخويف الزائر وطلب مبلغ مالي

اهلا بكم

نبدأ تحليل للموقع الذي ينتحل صفحة وزارة الداخلية ويقوم بتهديد الزائر بمخالفته للقوانين ويطلب دفع مبلغ مالي.

في البداية كيف يصل الزائر الى هذا الموقع. هذه المواقع عادة تستخدم محركات البحث للوصول الى الزوار وحيث تركز على الكلمات الطويلة في البحث فتكون هي في الصفحة الاولى.

فعند دخول الزائر للموقع وعند ضغط زر الفاره في الصفحة تفتح نافذه جديدة وبحسب نوع جهاز (user-agent) الزائر يتم توجيهة

فمثلا لو كان الجهاز وندوز يتم التوجية الى الصفحة المزورة لوزارة الداخلية

عند الدخول للصفحة يتم تكبير وملء الشاشة بالصفحة والتي تم تصميمها كسطح مكتب وندوز ١٠ مع متصفح كروم. وفيها التهديد ونموذج ادخال بيانات بطاقة الفيزا للدفع

بعد ادخال بيانات الفيزا يتم طلب كود التوثيق

الكود الخاص بعرض المحتوىوامعالجة عملية الدفع تم عمل تشفير(Obfuscation) له عن طريق base64 وذلك ربما لتجاوز حماية بعض الانظمة.

حيث يمكن فك التشفير عن طريق داله base64 في اغلب لغات البرمجة او عن طريق موقع https://gchq.github.io/

عند التجربة بتغيير user-agent الى Android يتم التحويل الى صفحات تقوم بتنزيل apk file سوف يتم تحليله لاحقا.

وعند تغيير user-agent الى IOS يتم تحويل الزائر الى صفحة تطلب الوصول الى التقويم

وتقبلو اجمل التحايا