Pravidelný občasník originálního humoru

Rhybářská sezóna v plném proudu

Autor chlívek (Bezpečnost) - vydáno 23.9.2004

kdopak nám to loví v rhybníce ?


V okamžiku, kdy jsem na podnět Dr. Vlastimila Klímy psal předchozí dokument o rhybaření, tak jsem netušil, že to nebude dokument poslední. Podnětem k napsání dalšího dílu byl e-mail, který zavítal do mé schránky dnes odpoledne.

Nynější phishingový (rhybářský) na rozdíl od minulého drzý až fikaný.

Volný překlad e-mailu :
Drazí zákazníci SunTrust banky,
Nedávno bylo učiněno velké množství pokusů krádeže identity zákazníků banky SunTrust. Za účelem ochrany Vašeho účtu požadujeme vaše bankovní detaily(informace o kreditní kartě a přihlašovací jméno/heslo pro online bankovnictví, pokud máte)
Tento proces je nevyhnutelný a pokud není dokončen bude v nejbližší době Váš účet nebo kreditní karta dočasně pozastaveny.
K Vašemu bezpečnému potvrzení bance SunTrust prosím klikněte na následující link
.... Děkujeme Vám za promptní pozornost, kterou věnujete této záležitosti a děkujeme za použití SunTrust.

Toť k metodice psychologického nátlaku na uživatele. Nic z toho není reálné(možná až na ty pokusy).

A nyní přímo ke zdroji zprávy.
Zpráva je HTML dokument, jehož zdroj je zde :
< html> < p> < font face="Arial"> < A hRef="http://www.suntrust.com/personal/Checking/OnlineBanking/
Inerenet_Banking/security.asp"> < map name="FPMap0"> < area coords="0, 0, 646, 437" shape="rect" href="http://%31%39%35%2E%32%33%39%2E%
37%39%2E%31%37%30:%38%37/
%73%74/%69%6E%64%65%78%2E%68%74%6D"> </map > <
img SRC="cid:part1.02070105.03010409@
supprefnum033290@suntrust.com" border="0" usemap="#FPMap0"> < /A> < /a> < /font> < /p> < p> < font color="#FFFFFE"> going to Did you make Matrix as follows Clip Art in 1809 Mother's Day Shoe them to me please Yellow Pages Illinois man Nicole Kidman Jennifer Lopez Good. Love Poems DVD It's not for me Let me think back. Austin Powers Ricky Martin Anna K Virus Census passport control Just tell ?????? city name Or < /font> < /p> < /html>

Akce :
Po kliknutí na odkaz se otevřou stránky ústavy SunTrust a přes ně se otevře popup okno, které se snaží tvářit jako zabezpečené připojení pro potvrzení osobních údajů. Velmi rafinovaně je řešený pokus přesvědčit uživatele, že je pod ochranou použitím "zamknutého zámku" a informaci o to, že spojení je zabezpečeno SSL. Nic z toho není pravda. Uživatel je připojen přes HTTP, který je po síti přepravován jako plaintext(otevřený text, nezašifrovaná forma). Rozkódovaná adresa tentokrát zní : http://195.239.79.170:87/st/confirm.htm . Připojení opět přes jeden z nestandardních portů - 87 (TCP) link a talk/chat style protocol. Pro neškoleného a i některé školené uživatele vypadá tato stránka velice důvěryhodně.

Adresa 195.239.79.170
Tentokrát nás adresa, která je uvedená v RIPE (Réseaux IP Européens) zavedla k firmě Golden Telecom se sídlem kdesi v Rusku.

Nyní připojuji výpis trasy k falešným stránkám Výpis trasy k mks2.Samara.gldn.net [195.239.79.170]

s nejvýše 30 směrováními:
1 27 ms 26 ms 25 ms *
2 29 ms 30 ms 31 ms *
3 28 ms 29 ms 29 ms *
4 28 ms 59 ms 29 ms *
5 27 ms 25 ms 25 ms *
6 28 ms 30 ms 29 ms 401.ATM9-0-0.GW1.PRG1.ALTER.NET [146.188.33.85]
7 180 ms 203 ms 207 ms 421.ATM12-0-0.XR2.PRG1.ALTER.NET [146.188.15.186]
8 44 ms 49 ms 44 ms so-3-1-0.TR2.HDN2.ALTER.NET [146.188.7.161]
9 70 ms 75 ms 69 ms so-6-0-0.TR1.STK2.ALTER.NET [146.188.7.30]
10 70 ms 97 ms 72 ms ge-7-3-0.XR1.STK3.ALTER.NET [146.188.11.229]
11 74 ms 75 ms 73 ms POS1-0.GW9.STK3.ALTER.NET [146.188.7.78]
12 105 ms 96 ms 93 ms mwx00090-gw.customer.ALTER.NET [146.188.69.182]
13 103 ms 103 ms 102 ms rcr-1.Moscow.gldn.net [194.67.17.114]
14 122 ms 118 ms 132 ms cisco1.Samara.gldn.net [194.186.159.42]
15 156 ms 335 ms 225 ms mks-gw.Samara.gldn.net [195.239.79.166]
16 211 ms 147 ms 151 ms mks2.Samara.gldn.net [195.239.79.170]
Trasování bylo dokončeno.



Kam ve skutečnosti posíláte data ?
Aby byl patrný rozdíl o co se zde jedná, připojuji porovnání na první pohled patrné i pro laiky.

Umístění originálních stránek
Na následující mapce je znázorněno, jakým směrem se pohybují data, pokud se připojujete na oficiální stránky SunTrust banky.

Umístění podvržené stránky
Níže umístěná mapa ukazuje, odkud pochází spojení na podstrčený registrační formulář.

Screenshoty pořízeny z programu Neotrace od firmyMcAffee

Závěrem
Zatím se rhybaření pohybuje mimo naše krajiny. Ale s rostoucím výskytem předpokládám v brzké době i pokusy o vylákání údajů od některých z bankovních ústavů zde v České Republice. Dle mého názoru proti této metodě není zcela imunní například www.servis24.cz . Bohužel základní ověřování je považováno jako nadstandard (doporučuji přečíst Zabezpečení služby Service24 Internetbanking - velmi poučné, velmi neúčinné proti Phishingu). Obávám se, že Bankovní ústav je dobře chráněn - podmínky vystaveny na internetu a myslím, že obdobná klauzule bude uvedena i ve smlouvě , avšak klient není při "standardním" zabezpečení oproti phishingu(rhybaření) chráněn vůbec.
Podlehnete-li phishingu(rhybaření), pak nevědomky porušíte - citace
10) Nikdy nesdělujte Vaše klientské číslo a heslo při ústní a telefonické komunikaci a neuvádějte jej v písemné komunikaci (dopis; e-mail). Heslo je jen Vaše a v zájmu bezpečnosti jej nesmí znát nikdo jiný: ani kolegové v práci či rodinní příslušníci. Heslo nesdělujte ani operátorovi podpory služby SERVIS24 Internetbanking. Servis 24

Když jsem získával informace pro tento článek narazil jsem na organizaci, která monitoruje rhybník : Anti-Phishing Working Group

Doporučuji také shlédnout další příklad podvodného získání dat : http://www.hoax.cz/ruzne/fraudcitibank/

Za podněty a podporu děkuji :
Josefu Džubákovi
Dr. Vlastimilu Klímovi



Velmi důležité
Nikdy nesdělujte Vaše klientské číslo a heslo při ústní a telefonické komunikaci a neuvádějte jej v písemné komunikaci (dopis; e-mail). Heslo je jen Vaše a v zájmu bezpečnosti jej nesmí znát nikdo jiný: ani kolegové v práci či rodinní příslušníci.
(Servis 24) Toto neplatí pouze v tomto případě.

Dodatek
Cílem tohoto článku je informovat o možném nebezpečí. Článek obsahuje dostupná fakta, osobní zkušenosti a domněnky.
Výše uvedená stránka funguje na Internet Exploreru, v Mozille se nic nezobrazi.
Na standardnim portu 80 je vyvěšeno toto sdělení(Pomůže-li někdo s překladem, budu rád):



|
Poslední změna : 23.9.2004 14:59, Vytvořen : 22.9.2004 23:13, Vydán : 23.9.2004, 8919x

Komentáře pro ty z Facebooku