Pravidelný občasník originálního humoru

Rhybaření po e-mailu v našich krajích

Autor chlívek (Bezpečnost) - vydáno 20.9.2004

Aktuálně z vod sociálního inženýrství.


Ve světě počítačů jev anglicky zvaný Phishing(zkratka pro Password harvesting fishing - Sběr hesel rybařením) je získávání citlivých informací jako hesel a ostatních osobních informací od oběti, kdy je útočník maskován jako někdo důvěryhodný, který nutně tyto informace potřebuje. Phishing je řazen k formám sociálního inženýrsví. (Volný překlad z Wikepedie )

A jak to vypadá ve skutečnosti ?

Dnes ráno jsem v mé e-mailové schránce našel zprávu, která sice nebyla určena mě, ale přesto obsahovala unikátní obsah( viz například News na crypto-worldu. Na první pohled mail vypadá nevinně : Obrázek mailu

Bankovní instituce(zde je to maskováno jako Citizens bank) provádí plánovaný upgrade software a žádá proto klienty, aby klidnutím na uvedený link potvrdili uložené údaje. Nicméně toto je výše uvedená maska důvěryhodnosti.

Ve skutečnosti je e-mail ve formátu html. Zdrojový kód zprávy vypadá takto :
<html><p><font face="Arial"> <A hRef="http://www.citizensbank.com/customerservice/
cust_serv_gtway.asp" >
< map name="FPMap0" > < area coords="0, 0, 567, 270" shape="rect" href="http://%32%30%38%2E%31%38%36%2E%35%38%2E%
32%35%31:%38%37/%63%7A/%69%6E%64%65%78%2E%68%74%6D" > </map> <img SRC="cid:part1.00050301.05000109@
identdep_op2541416@citizensbank.com"
border="0" usemap="#FPMap0"> </A></a></font></p><p>
<font color="#FFFFF7">select location from Powerball Bradley Chait Final Fantasy in 1825 some advice about in 1985 Dogs vs. town, Network Why not? that suits me. Outlaw Star Toys Domains I'd love ???? Eminem pass me Am I right? It was nice Stars Chyna Dean Kamen Open your I can't answer </font> </p></html>

Akce :
Zvýrazněná část způsobí , že po kliknutí se otevře prohlížeč s adresou, která je zapsána v divném formátu. Nicméně je to pouze obyčejná url http://208.186.58.251:38/cz/index.htm. Za pozornost stojí, že nejste připojováni přes standardní port HTTP nebo HTTPS, ale připojujete se přes port určený pro Route Access Protocol(38).

Cílová adresa 208.186.58.251

IP adresa je ještě v tuto hodinu funkční. Správce adresy lze dohledat na American Registry for Internet Numers . Poskytovatelem je jakási firma Electric Lightwave,Inc se sídlem ve Vancouveru.

Kde to fyzicky leží ?
Výpis trasy k 208-186-58-251.nrp3feld.roc.ny.frontiernet.net [208.186.58.251] s nejvýše 30 směrováními:
1 25 ms 26 ms 28 ms *
2 27 ms 25 ms 26 ms *
3 26 ms 26 ms 26 ms *
4 27 ms 26 ms 26 ms *
5 27 ms 28 ms 25 ms *
6 32 ms 33 ms 34 ms Frankfurt1.de.ALTER.NET [139.4.210.241]
7 36 ms 35 ms 35 ms so-7-1-0.XR1.FFT4.ALTER.NET [149.227.48.25]
8 35 ms 36 ms 34 ms so-0-1-0.TR1.FFT1.ALTER.NET [146.188.8.134]
9 122 ms 122 ms 122 ms so-2-0-0.IR2.DCA4.ALTER.NET [146.188.11.222]
10 131 ms 132 ms 129 ms so-1-0-0.IL2.DCA6.ALTER.NET [146.188.13.45]
11 129 ms 131 ms 128 ms 0.so-1-0-0.TL2.DCA6.ALTER.NET [152.63.9.222]
12 131 ms 131 ms 129 ms 0.so-6-0-0.XL2.DCA6.ALTER.NET [152.63.38.74]
13 137 ms 128 ms 130 ms POS7-0.BR3.DCA6.ALTER.NET [152.63.38.121]
14 132 ms 132 ms 133 ms 204.255.174.30
15 134 ms 132 ms 155 ms ge-4-1-0--0.cr02.mcln.eli.net [207.173.115.158]
16 136 ms 140 ms 138 ms so-0-0-0--0.cr02.nwrk.eli.net [207.173.114.254]
17 136 ms 144 ms 138 ms so-3-0-0--0.cr01.nwrk.eli.net [207.173.114.201]
18 144 ms 146 ms * so-0-0-0--0.cr03.roch.eli.net [207.173.114.234]
19 146 ms 146 ms 145 ms ge3-2.cr01.roch.eli.net [207.173.114.206]
20 147 ms 144 ms 144 ms ge1-1.gw02.roch.eli.net [207.173.115.18]
21 144 ms 147 ms 148 ms nrp3feld.roc.ny.frontiernet.net [216.190.104.38]
22 470 ms 290 ms 212 ms 208-186-58-251.nrp3feld.roc.ny.frontiernet.net [208.186.58.251]
Trasování bylo dokončeno.

Je zajímavé, že dle URL mají připravenou u českou verzi a dle hlavičky e-mailu přišel tento pokus o phishing z českého serveru Nicméně funkci cílové adresy se nepodařilo ověřit, jelikož vzdálená strana aktivně odmítá spojení.

Doporučení závěrem: Pokud Vám přijde nějaký podobný e-mail, ignorujte ho, jelikož banky žádný takovýto způsob ověření dat opravdu nepotřebují.



|
Poslední změna : 21.9.2004 19:43, Vytvořen : 20.9.2004 20:38, Vydán : 20.9.2004, 9433x

Komentáře pro ty z Facebooku