Ostatnio użytkownikom hostingu z panelem administracyjnym cPanel są wysyłane wiadomości email zawierające linki do wyłudzenia haseł do serwera w imieniu cPanel. Wiadomości mogą być różne, ale najczęściej są to komunikaty o tym, że kończy się wolna przestrzeń dyskowa i proszą zalogować się do cPanel, aby sprawdzić statystyki.
W czym polega problem?
cPanel jest jednym z najbardziej popularnych panelów admin na serwerach hostingowych wśród firm świadczących takie usługi do ulokowania stron, poczty oraz plików poprzez FTP.
Email jest wysyłany jakby w imieniu znanej firmy, ale zawiera linki lub formularze na innych (czasem mało czytelnych) domenach do wyłudzenia haseł oraz dostępów do poczty lub serwera. Wiadomość może wyglądać następująco:
Takie maile są wysyłane na konta, które są publicznie dostępne na stronach www, na stronach z danymi kontaktowymi lub innych.
Przykład linku (po najechaniu myszką) zawierający formularz do wyłudzenia hasła: http://pedidos.papikssnacks.com.ar/php/cpanel.php?token=aHR0cHM6Ly9tdGEud2F3LmFjOjIwODMv . Jeżeli taki email się znalazł w skrzynce odbiorczej polecamy zapoznać się z poleceniami poniżej co należy z nim zrobić.
1. Sprawdzamy nagłówki email
Jeżeli wiadomość wygląda jako podejrzana – najprawdopodobniej wysłał ją kto inny, nie cPanel. Możemy zweryfikować to poprzez nagłówki wiadomości.
W łatwy sposób można wyznaczyć z jakiego serwera email był wysłany, cPanel wysyła pocztę przez serwery Outlook:
Received: from NAM10-MW2-obe.outbound.protection.outlook.com (mail-mw2nam10on2091.outbound.protection.outlook.com. [192.0.2.0])
Oprócz tego sprawdzamy czy serwer nadawcy przechodzi przez weryfikacje DKIM oraz SPF. Przykład poprawnego potwierdzenia tożsamości nadawcy wiadomości:
dkim=pass header.i=@cpanel.net header.s=selector1 header.b=fI5f9kNG; arc=pass (i=1 spf=pass spfdomain=cpanel.net dkim=pass dkdomain=cpanel.net dmarc=pass fromdomain=cpanel.net); spf=pass (domain.tld: domain of account@cpanel.net designates 192.0.2.0 as permitted sender) smtp.mailfrom=account@cpanel.net;
2. Nie klikamy w linki w wiadomości email
Zwykłe linki w wiadomościach typu Phishing prowadzą na strony obce, nie na domenie właściciela lub hostingu. Sprawdzić to możemy najechaniem myszką na link – po lewej stronie na dole przeglądarki zobaczymy prawdziwy link. Na telefonie wystarczy zatrzymać palec na takim linku i sprawdzić jaki link się kopiuje.
Jeżeli wiadomość wygląda lub jest identyfikowana jako podejrzana – nie polecamy klikać w linki oraz otwierać załączone pliki, ponieważ to może uszkodzić komputer lub stronę.
Do panelu admin należy logować się poprzez panel klienta Hostingu lub z wiadomości powitalnej po wykupieniu takiej usługi.
W przypadku phishingowych wiadomości email - można taki mail przesłać dalej do reportphishing@apwg.org, aby serwery zaczęły filtrować takie wiadomości.. Polecenie od cPanel
* APWG – jest organizacją globalną, która aktywnie walczy z przestępczością internetową.
Jednak, jeżeli kliknęliśmy w link i wpisaliśmy dane dostępowe na stronie obcej – należy od razu zmienić hasło w panelu administracyjnym hostingu lub panelu klienta! Skanowanie plików komputera antywirusem również nie będzie zbędnym.
3. Korzystamy z publicznych kont email na stronie
Polecamy nie publikować konto email administratora na stronie www lub innych serwisach informacyjnych. Dobrą opcją będzie wykorzystanie innego adresu email, który będzie ogólnodostępny i wiadomości przychodzące w większości będą SPAM`em.
4. Kontakt ze wsparciem technicznym
Jeżeli takie powiadomienie o kończącym się miejscu na dysku okazało się w skrzynce odbiorczej – polecamy od razu skontaktować się ze wsparciem technicznym, aby ten fakt został zweryfikowany na konkretnym koncie hostingowym.
Podsumowanie
Podsumowując, takie wiadomości może otrzymać każdy właściciel strony, ale nie oznacza, że strona już jest zagrożona. Warto być czujnym i nie klikać w linki oraz nie otwierać załączników od nieznanych nadawców. Jeżeli tak się stanęło – jak najszybciej polecamy zmienić login oraz hasło w Panelu administracyjnym, oraz przeskanować pliki hostingu i komputera na obecność wirusów.
Należy zwracać uwagę na nagłówki wiadomości email, publikować inny/dedykowany adres email na stronie i kontaktować się ze wsparciem technicznym, aby mieć pewność czy powiadomienie jest prawdziwe.