इस उदाहरण में, हम एक फ़िशिंग अभियान का विश्लेषण करेंगे जो नेटफ्लिक्स का भेष धारण करता है और वास्तविक समय में पीड़ितों के साथ छेड़छाड़ करता है। यह कोई मानक स्थिर HTML फ़ॉर्म नहीं है, बल्कि एक पूर्ण-स्तरीय फ़िशिंग सेवा है: उपयोगकर्ता कई चरणों से गुज़रता है, जबकि ऑपरेटर नियंत्रण पैनल का उपयोग यह तय करने के लिए करता है कि उन्हें अगला निर्देश कहाँ दिया जाए — अपने लॉगिन विवरण, कार्ड विवरण, SMS कोड, PIN दर्ज करने के लिए या ऐप के माध्यम से पुष्टि करने के लिए।
हमने इस फ़िशिंग साइट के कंट्रोल पैनल तक पहुँच प्राप्त करके और उसका विश्लेषण करके इस तंत्र की स्वतंत्र रूप से पुष्टि की है।
इस लेख में, हम यह नहीं बता रहे हैं कि कंट्रोल पैनल तक कैसे पहुँचा जाए, लेकिन हम इसके अस्तित्व के तथ्य का ही परिचालन मॉडल की पुष्टि के रूप में उपयोग करते हैं: हमले को बैकएंड इंटरफ़ेस के माध्यम से मैन्युअल रूप से या अर्ध-स्वचालित रूप से प्रबंधित किया गया था।
0. हुक

उपयोगकर्ता को सबसे पहले एक ईमेल प्राप्त होता है, जिसमें कार्रवाई के लिए प्रेरित करने हेतु मानक सोशल इंजीनियरिंग तकनीकों का उपयोग किया जाता है। हमलावर यह सुझाव देकर उपयोगकर्ता का ध्यान आकर्षित करने की उम्मीद करते हैं कि उनके पसंदीदा टीवी कार्यक्रमों तक उनकी पहुंच निलंबित की जा सकती है। ईमेल फ़िल्टर को बाईपास करने और अंतिम फ़िशिंग डोमेन को छिपाने के लिए, हमलावर सोशल नेटवर्क X के इंफ्रास्ट्रक्चर के माध्यम से एक छोटा लिंक का उपयोग करते हैं: https://t.co/XXXXXXX
पहली नज़र में, यह के माध्यम से एक सामान्य लिंक जैसा दिखता है t.co, इसलिए यह उपयोगकर्ता और कुछ स्वचालित फ़िल्टर दोनों के लिए कम संदिग्ध लगता है।
क्लिक करने के बाद, उपयोगकर्ता को तुरंत मुख्य फ़िशिंग पेज पर नहीं ले जाया जाता है। उन्हें पहले एक मध्यवर्ती संसाधन पर पुनर्निर्देशित किया जाता है।
1. मध्यस्थ पुनर्निर्देशक के रूप में सार्वजनिक S3 बकेट
यह लिंक एक सार्वजनिक S3 बकेट की ओर ले जाता है: https://access-authority-2faXXXXX.s3.eu-north-1.amazonaws.com/index.html
यह चरण एक फ़िल्टर और एक रीडायरेक्टर दोनों के रूप में कार्य करता है।
index.html यह देश और पूर्व-परिभाषित आईपी पतों के आधार पर फ़िल्टर करता है। इससे असली फ़िशिंग साइट शोधकर्ताओं, स्वचालित स्कैनरों, सैंडबॉक्स और सुरक्षा प्रणालियों के सामने आने से बच जाती है।
फ़िल्टर से गुज़रने के बाद, उपयोगकर्ता को एक सरल HTML रीडायरेक्ट प्राप्त होता है:
<meta http-equiv="refresh" content="1;url=https://www.XXXXX.help/index.html">
डोमेन को CAPTCHA-समाधान सेवा के रूप में छिपाया गया है। यह एक सुविधाजनक आवरण कहानी है: उपयोगकर्ता एक तकनीकी नाम देखता है और सोच सकता है कि वह एक मध्यस्थ ब्राउज़र जांच, एक CAPTCHA या सुरक्षा सत्यापन का सामना कर रहा है।

वास्तव में, यह एक फ़िशिंग इंफ्रास्ट्रक्चर है।
इस चरण में डिवाइस फिंगरप्रिंटिंग पहले से ही हो रही है। कोड उपयोगकर्ता घटनाओं को एकत्र करता है:
- mousemove
- touchmove
- कीअप
- बैकस्पेस
- डिवाइसओरिएंटेशन
स्क्रिप्ट न केवल घटनाओं के घटित होने का, बल्कि उनके पैरामीटरों का भी विश्लेषण करती है:
- गति की गति;
- घटनाओं के बीच अंतराल;
- सामान्यीकृत निर्देशांक;
- दिशा में अचानक बदलाव;
- कीबोर्ड व्यवहार;
- डिवाइस अभिविन्यास;
- टच/माउस प्रोफ़ाइल।
इसका उपयोग यह आकलन करने के लिए किया जाता है कि कोई आगंतुक एक वास्तविक व्यक्ति है या नहीं।
टेलिमेट्री का अस्पष्टीकरण और 'एन्क्रिप्शन'
टेलिमेट्री का एक हिस्सा भेजे जाने से पहले AES-CBC का उपयोग करके एन्क्रिप्ट किया जाता है: crypto.subtle.encrypt({ name: 'AES-CBC', iv: ... }, key, data)
कोड में एंटी-डिबगिंग लॉजिक है। स्क्रिप्ट एक शब्द बनाती है debugger एक संख्यात्मक एरे से और इसे के माध्यम से कॉल करता है new Function()। यदि निष्पादन में देरी होती है, तो पेज एक बीकन अनुरोध भेजता है /misc/index.php?r=<random> के पैरामीटर के साथ। bcl
यह यह निर्धारित करने का एक प्रयास प्रतीत होता है कि क्या उपयोगकर्ता ने DevTools खोला है या क्या जावास्क्रिप्ट निष्पादन को ब्रेकपॉइंट पर रोका गया है; बैकएंड अपने व्यवहार को बदल सकता है, वास्तविक प्रवाह को छिपा सकता है और एक त्रुटि प्रदर्शित कर सकता है, या उपयोगकर्ता को वैध नेटफ्लिक्स वेबसाइट पर रीडायरेक्ट कर सकता है।
'कैप्चा' सफलतापूर्वक पास करने के बाद, उपयोगकर्ता को main/prepare.php
2. चरण एक: उपयोगकर्ता नाम और पासवर्ड एकत्र करना

हमले का पहला वास्तविक चरण न तो कोई कार्ड है और न ही कोई SMS। सबसे पहले, उपयोगकर्ता को नेटफ्लिक्स लॉगिन पेज की नकल करने वाले एक पेज पर ले जाया जाता है।
इस चरण में, हमलावर ईमेल पता और पासवर्ड एकत्र करते हैं।
यह महत्वपूर्ण है: हमला खाते को समझौता करके शुरू होता है, और तभी भुगतान विवरण पर आगे बढ़ता है।
POST फ़ॉर्म जमा करने के बाद, पेज उपयोगकर्ता को अगले चरण – 'क्रेडिट कार्ड सत्यापन' पर रीडायरेक्ट कर देता है।
इस प्रकार, भले ही बाद के भुगतान चरण पूरे न हों, हमलावर पहले ही एक मूल्यवान परिणाम प्राप्त कर चुके होते हैं: खाते तक पहुंच।
3. दूसरा चरण: कार्ड का विवरण दर्ज करना

अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करने के बाद, उपयोगकर्ता को भुगतान सत्यापन पृष्ठ पर पुनर्निर्देशित किया जाता है।
इस चरण में, परिदृश्य नेटफ्लिक्स से जुड़े कार्ड को सत्यापित करने की आवश्यकता का अनुकरण करता है। उपयोगकर्ता वैध बिलिंग प्रवाह के समान एक इंटरफ़ेस देखता है और अपने भुगतान विवरण दर्ज करता है।
इस चरण का उद्देश्य एकत्र करना है:
- कार्डधारक का नाम
- कार्ड नंबर
- समाप्ति तिथि
- CVV/CVC
टेलिमेट्री प्रक्रिया के दौरान निरंतर भेजी जाती है:

4. तीसरा चरण: लोडिंग स्क्रीन और ऑपरेटर का इंतजार

अपना कार्ड विवरण दर्ज करने के बाद, उपयोगकर्ता को एक प्रतीक्षा पृष्ठ पर ले जाया जाता है। यही HTML है जिसे हम विश्लेषित कलाकृति में देखते हैं।
पृष्ठ में लिखा है:
आपके कार्ड सत्यापन को पूरा करने के लिए अतिरिक्त सत्यापन आवश्यक है
आपको अपने मोबाइल फोन पर एक टेक्स्ट संदेश प्राप्त होगा...
देखने में, यह बैंक की पुष्टि के लिए एक सामान्य प्रतीक्षा की तरह लगता है। लेकिन तकनीकी रूप से, यह सिर्फ एक "प्रतीक्षा स्क्रीन" नहीं है; यह वह बिंदु है जहाँ उपयोगकर्ता को सत्र में तब तक रखा जाता है जब तक कि बैकएंड या कोई ऑपरेटर यह तय नहीं कर लेता कि अगला कदम क्या होना चाहिए।
5. वेबसॉकेट के माध्यम से रीयल-टाइम नियंत्रण

मुख्य नियंत्रण तंत्र WebSocket है। हम एक खुला देख सकते हैं wss:// रिक्वेस्ट्स के नीचे एक ओपन कोड दिखाई देता है। पेज WebSocket से कनेक्ट होता है और बैकएंड से कमांड का इंतजार करता है। HTML में ऐसा लॉजिक होता है जो ऑपरेटर को यूजर को अलग-अलग स्क्रीन पर भेजने की अनुमति देता है:
| कोड | पथ | विवरण |
|---|---|---|
| 1 | ./app.php | बैंकिंग ऐप में पुष्टि अनुरोध पृष्ठ |
| 2 | ./payment.php | त्रुटि के बाद कार्ड विवरण दर्ज करने के लिए अनुरोध दोहराएँ |
| 3 | ./sms.php | टेक्स्ट संदेश से कोड दर्ज करने का पृष्ठ |
| 4 | ./pin.php | कार्ड पिन दर्ज करने का पृष्ठ |
| 5 | https://netflix.com | असली नेटफ्लिक्स वेबसाइट पर रीडायरेक्ट करें |
उपयोगकर्ता द्वारा दर्ज किया गया कार्ड, या तो स्वचालित रूप से या अर्ध-स्वचालित रूप से, विभिन्न दुकानों पर भुगतानों के लिए उपयोग किया जाना शुरू हो जाता है। ये सबसे अधिक संभावना है कि साइबर अपराधियों द्वारा नियंत्रित व्यापारी हैं।
यहीं पर रीयल-टाइम घटक विशेष रूप से खतरनाक हो जाता है। ऑपरेटर देख सकता है कि भुगतान प्रणाली ने किस प्रकार के सत्यापन का अनुरोध किया है और हमले के विशिष्ट चरण के अनुसार फिशिंग पेज को अनुकूलित कर सकता है – कभी-कभी ऐप के भीतर सत्यापन का अनुरोध करना, कभी-कभी एसएमएस के माध्यम से कोड, या कार्ड पिन।
6. एडमिन पैनल के माध्यम से पुष्टि
फ़िशिंग साइट कैसे काम करती थी, इसका विश्लेषण करने के बाद, हमने इस पैनल में कमजोरियों को खोजने का फैसला किया। इस दौरान, हमें पैनल के निर्माता द्वारा छोड़े गए कुछ अजीब 'ईस्टर एग्स' मिले।

लॉग्स के आधार पर, यह निष्कर्ष निकाला जा सकता है कि, 24 घंटे की अवधि में, कम से कम चार अलग-अलग पैनल प्रशासकों ने 4-7 घंटे के अंतराल पर एडमिन पैनल में लॉग इन किया।
हमने पैनल पर अतिरिक्त ओपन पोर्ट्स – 2082, 2095, 8880 और 1010 – भी खोजे, जिससे हमें असली आईपी पता पहचानने में मदद मिली, क्योंकि ठगों की वेबसाइट CloudFlare के पीछे होस्ट की गई है।
इंटरनेट सेवा प्रदाताओं को सूचित कर दिया गया है।
7. समझौते के संकेत
डोमेन
*.solvecaptcha.help
8. निष्कर्ष
यह अभियान दर्शाता है कि आधुनिक फ़िशिंग सेवाएँ एक साधारण लॉगिन पेज को रीयल-टाइम ऑपरेशन में कैसे बदल देती हैं।
हमलावर पहले उपयोगकर्ता नाम और पासवर्ड प्राप्त करते हैं, फिर भुगतान विवरण, जिसके बाद वे उपयोगकर्ता को एक लोडिंग स्क्रीन पर रखते हैं। इस बिंदु पर, बैकएंड/एडमिन पैनल में एक ऑपरेटर यह तय करता है कि अगला कौन सा कदम दिखाना है: एक एसएमएस कोड, एक पिन कोड, इन-ऐप सत्यापन या असली नेटफ्लिक्स साइट पर अंतिम रीडायरेक्ट।
इस योजना की मुख्य तकनीकी विशेषता वेबसॉकेट नियंत्रण है। यही है जो हमले को इंटरैक्टिव बनाता है और ऑपरेटरों को एक विशिष्ट पीड़ित और एक विशिष्ट बैंकिंग वर्कफ़्लो के लिए परिदृश्य को अनुकूलित करने की अनुमति देता है।
यह अब केवल एक "फ़िशिंग पेज" नहीं है। यह एक लाइव फ़िशिंग ऑपरेशन है।