Pravidelný občasník originálního humoru

POZOR PHISHING ! "Ceska sporitelna - Pozor! Nove bezpecnostni standardy"

Autor chlívek (Bezpečnost) - vydáno 11.10.2006

Česká spořitelna cílem phishingu. No tomu říkám gól. Jakkoliv je konec mailu úsměvný ("S pozdravem, Oddeleni Banky pro ochranu pred frodem") jde o velmi vážnou věc. Pro obyčejného uživatele Servis24 znamená tento mail něco na co spolehlivě skočí.


Česká spořitelna si čerstvě vysloužila phishingový útok - několik exemplářů totožného mailu přístálo na většině mých mailových adres. Po kliknutí na adresu uvedenou v těle mailu se ve skutečnosti klient dostane na http://210.211.139.140:9070/index.htm (screenshot)

Na uvedené adrese je zkopírován přihlašovací formulář do služby internetového bankovnictví České Spořitelny (Servis24). Po vyplnění klientského čísla a obou dalších údajů nutných pro vstup je zobrazena pouze informace "OK" s obvyklou hlavičkou Servisu24. Paradoxně útočníci zkopírovali formulář v podobě pro čerstvé klienty - tj. včetně třetího počátečního kódu. Je pochopitelně jedno co vyplníte, údaje jsou kontrolovány pouze na délku, nikoliv na správnost. Útočníkům lze pouze o získání přístupových údajů ke klientskému účtu.

Klasický příklad phishingu umožní získat přístup k účtům uživatelů služby Servis24.

Rozesílaný e-mail:

 

Return-Path: <servise@csas.cz>
Delivered-To: info pooh.cz
Received: (qmail 23346 invoked from network); 11 Oct 2006 19:33:51 -0000
Received: from unknown (HELO mailgw.explorer.cz) (192.168.1.21)
  by mail.expl with SMTP; 11 Oct 2006 19:33:51 -0000
Received: from mailgw.explorer.cz (localhost [127.0.0.1])
 by mailgw.explorer.cz (Postfix) with ESMTP id 68595163597
 for <info pooh.cz>; Wed, 11 Oct 2006 21:33:49 +0200 (CEST)
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.1.3 (2006-06-01) on mailgw.explorer.cz
X-Spam-Level: *******************
X-Spam-Status: Yes, score=19.3 required=6.0 tests=HELO_DYNAMIC_DHCP,
 HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR,HTML_IMAGE_ONLY_20,
HTML_MESSAGE,
 HTML_TITLE_EMPTY,HTTPS_IP_MISMATCH,MIME_
HTML_ONLY,NORMAL_HTTP_TO_IP,
 RCVD_IN_NJABL_DUL,RCVD_IN_SORBS_DUL alutolearn=spam version=3.1.3
X-Spam-Report:
 *  3.1 HELO_DYNAMIC_DHCP Relay HELO'd using suspicious hostname (DHCP)
 *  4.1 HELO_DYNAMIC_HCC Relay HELO'd using suspicious hostname (HCC)
 *  4.2 HELO_DYNAMIC_IPADDR Relay HELO'd using suspicious hostname (IP addr
 *      1)
 *  0.2 NORMAL_HTTP_TO_IP URI: Uses a dotted-decimal IP address in URL
 *  1.2 HTML_IMAGE_ONLY_20 BODY: HTML: images with 1600-2000 bytes of words
 *  2.4 HTTPS_IP_MISMATCH BODY: IP to HTTPS link found in HTML
 *  0.0 HTML_MESSAGE BODY: HTML included in message
 *  0.0 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
 *  0.2 HTML_TITLE_EMPTY BODY: HTML title contains no text
 *  2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
 *      [81.192.38.122 listed in dnsbl.sorbs.net]
 *  1.9 RCVD_IN_NJABL_DUL RBL: NJABL: dialup sender did non-local SMTP
 *      [81.192.38.122 listed in combined.njabl.org]
Received: from adsl-122-38-192-81.adsl.iam.net.ma (adsl-122-38-192-81.adsl.iam.net.ma [81.192.38.122])
 by mailgw.explorer.cz (Postfix) with SMTP
 for <info pooh.cz>; Wed, 11 Oct 2006 21:33:49 +0200 (CEST)
Received: from elvyeovxj by adsl-122-38-192-81.adsl.iam.net.ma with local (Exim 4.42 (FreeBSD))
 id 1GXjpu-000UZ9-FO
 for info pooh.cz; Wed, 11 Oct 2006 19:33:50 +0000
To: <info pooh.cz>
Subject: [SPAM] Ceska sporitelna - Pozor! Nove bezpecnostni standardy.
From: "Ceska sporitelna" <
servise@csas.cz>
Content-Type: text/html;charset=windows-1250
Content-Transfer-Encoding: 7BIT
Message-Id: <1GXjpu-000UZ9-FO@adsl-122-38-192-81.adsl.iam.net.ma>
Sender: User elvyeovxj <elvyeovxj@adsl-122-38-192-81.adsl.iam.net.ma>
Date: Wed, 11 Oct 2006 19:33:50 +0000
X-Virus-Scanned: ClamAV using ClamSMTP
X-Spam-Prev-Subject: Ceska sporitelna - Pozor! Nove bezpecnostni standardy.

 

Dobry den vazeni klienti!

Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci.
Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku.
Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu.

S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem.
Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu.
Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.

Vy jste byl (a) zvolen (a) jako jeden z ucastniku finalniho stadia testovani systemu.
V soucasne dobe Vam navrhujeme vyuzit odkaz https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system.
V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti.
Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.

Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.

S pozdravem, Oddeleni Banky pro ochranu pred frodem



|
Poslední změna : 12.10.2006 10:59, Vytvořen : 11.10.2006 21:53, Vydán : 11.10.2006, 20423x

Komentáře pro ty z Facebooku

Aktuální články autora