Pravidelný občasník originálního humoru

Štítek: Phishing RSS

Virus v požadavku na zrušení objednávky co si stáhnete z Google Docs

Dorazí vám žádost o "zrušení objednávky" a informace mají být na připojeném odkazu, ten vede do Google Docs, takže na první pohled nic nebezpečného. Odkaz je ale odkazem pro stažení a získáte ZIP a v tom je teprve dokument pro Word. Pokud máte funkční antivir, tak bez problémů zjistí, že jde o Trojan.O97M/Madeba.A!det.Samotné stažení a otevření ZIPu je neškodné, do vážného problému se dostanete až otevřením onoho DOC souboru v ZIPu se schovávajícím.

Virus v požadavku na zrušení objednávky co si stáhnete z Google Docs

Píše vám Jay Worton a nabízí 50 USD za obsah co umístíte na web? Nahlašte spam a bacha

Bude vám psát Jay Worton co pracuje pro někoho nesmírně významného. A bude tvrdi, že si "právě všiml" nějakého "velmi zajímavého článku" na nějakém vašem webu. Zpravidla si všimne nějaké totální ptákoviny. Nabídne vám, že za 50 USD na váš web umísti nějaké ten obsah, který navíc bude "velmi zajímavý pro vaše čtenáře". Zapomeňte na to, je to chronický spammer a všechny tyhle nabídky jsou spam, který maximálně povede k tomu, že si na web dáte nějaké smetí, za které vám Google později přihodí penalizaci. Peníze navíc neuvidíte.

Píše vám Jay Worton a nabízí 50 USD za obsah co umístíte na web? Nahlašte spam a bacha

Prostě tyhle spamující šmejdy nahlašte jako spam. Případně, pokud máte Google, je rovnou nahlašte jako scam a phishing. Nic lepšího udělat nemůžete. Nevěříte? Tak se mrkněte na to, jak Jay Worton spamuje mailing list pro Debian.  Je vytrvalý a kupodivu bude psát zpravidla z jayworton56@gmail.com - 17. října mi psal na FeedIT.cz, 24. října poslal tentýž autogenerovaný spam na @hotmail adresu. Občas ale také píše jako Jack Capmbell, Denny Friars či Steve James a používá řadu dalších jmen.

---------- Forwarded message ----------
From: Jay Worton <jayworton56@gmail.com>
Date: 2016-10-17 22:05 GMT+02:00
Subject: AVG Technologies nab¡z¡ s AVG Zen u?ivatel?m svobodu i kontrolu | www.FeedIT.cz

Hi there,

I am currently working with a leading business insurer. I noticed your site has published a very interesting article, AVG Technologies nab¡z¡ s AVG Zen u?ivatel?m svobodu i kontrolu | www.FeedIT.cz which is why I think a collaboration between us could work well..

We would like to feature a bespoke piece of content on your site, which we think would be of great interest to you and your audience. For the privilege of being featured on your site, we would be happy to offer you a fee of $50.

We hope to hear back from you soon.


Kind Regards,
Jay


Don't want emails from us anymore? Reply to this email with the word "UNSUBSCRIBE" in the subject line.

A ano, rozumíte tomu správně, tohle všechno je automaticky generované, ti lidé neexistují. A nikdy v životě váš web nejspíš neviděli. Ani neuvidí, chtějí jen abyste se nechali zlákat k umístění jimi produkovaného smetí na vaše stránky a tím poskytli zpětné odkazy někomu, komu byste je rozhodně poskytnout nechtěli.

Český CSIRT plaší řečmi o hackerech, plete si PayPall a PayPal a tak vůbec

Podle CISRT.CZ jsou hackeři ti, co vám pomoci vaší vlastní blbosti (přes phishing) vyberou účet. Budiž, to je jen takové hraní se slovy, pro obyčejné lidi to hacker být může, takže to je jakž takž akceptovatelné. Horší je, že tam píší o službě PAYPALL, což by už fakt nemuseli, navíc to tam píší opakovaně, takže to není vůbec náhoda.

Český CSIRT plaší řečmi o hackerech, plete si PayPall a PayPal a tak vůbec

Ale zlatý hřeb, aby lidé "mazali e-maily od PayPalu, které začínají obecným oslovením" (všimněte si, že tady už ty dvě LL nejsou) je dost kontraproduktivní. Je sice pravdou, že e-maily od PayPalu opravdu nezačínají žádnou zdvořilosti (většinou to rovnou na vás natvrdo vybalí jménem a příjmením), ale tohle jistě už oni "hackeři" taky čase zvládnou a podobná pravidla moc nepomáhají.

Co navíc, některé e-maily které posílají, tak jako tak začínají slovem "Dear", a měl bych je tedy mazat. Třeba ten, že vypršela platnost platební karty napojené na účet. Což mazat a ignorovat není dobrý nápad.

Pokud se někdo nachytá na tento phishing, tak, promiňte mi, musí být opravdu idi*t

Někdo kdesi pojedl vtipné kaše, přeložil anglický phishing čímsi do češtiny a odchytává přihlašovací údaje k e-mailu

Čerstvý phishing na Servis24 s kopií webu Spořitelny na brazilské doméně

Vynalézavost žádná, e-mail poslaný z hostingové brazislké služby, odkaz nejprve na peterle-fundacija.eu, zjevně využívající buď hacku nebo možnosti dostat tam vlastní obsah, následuje redirekt na brazilskou doménu a tam, klasicky, kopie webu České spořitelny s formuláři, které nachytavší se mají vyplnit a předat tak přihlašovací údaje. Kaspersky Internet Security to rovnou blokuje, záslužná to činnost.

Nový phishing se vydává za zprávu z Volksbank

 Klasické schéma - zpráva z banky, stažení archivu, ve kterém najdete EXE tvářící se jako PDF. Samozřejmě jde o virus. Málokdo si všimne adresy kam vlastně vede odkaz, stejně jako nebude řešit podivnou adresu odesílatele.

Nový phishing se vydává za zprávu z Volksbank

VirusTotal už tento vzorek zná

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Těžko říct, co si myslet o někom, kdo naletí na phishing (rhybaření) ukázané na následujícím obrázku. Něco takového samozřejmě už roky chodí v angličtině, tohle je jeden z mnoha pokusů, kdy útočníci prostě vzali anglický text a prohnali skrz Google Translate (něbo nějakou jinou službu co rozhodně nedokáže přeložit nic do srozumitelné podoby).  

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Všimněte si, že zde ani není žádný odkaz a útočníci nejspíš předpokládají, že jim obět prostě odpoví mailem (samozřejmě je možné, že prostě soudruzi z NDR udělali chybu a na odkaz zapomněli).

Hodně zvláštní příklad phishingu. Kolik hloupých na tohle může naletět?

Dorazil spam, celý ho můžete vidět v screenshotu. Na první pohled vypadá jako obchodní e-mail a nějaká ta poptávka. Samozřejme to smysl nedává, protože já nic takové co poptávají nemám, nemám ani žádný web, který by s tím měl něco společného. Ve skutečnosti je to povedený phishing:  

"To view the samples kindly login with your email and password because our company has added your email address to our own company email data base for security reasons."

Hodně zvláštní příklad phishingu. Kolik hloupých na tohle může naletět?

Přemýšlím nad tím, kolik lidí na něco takového naletí a na uvedené adrese skutečně zadá svůj e-mail a k němu platné heslo. Po zadání se mimochodem dostane na www.aliexpress.com/activities/promotional-products/index.html a mezitím samozřejmě došlo k uložení zadaných informací (zajímavé je, že to dělají pomocí www.formbuddy.com).

Google Chrome zablokoval vstup na jediný článek na Lupě pro phishing

"Google Chrome has blocked access to www.lupa.cz. This website has been reported as a phishing website," bylo varování, které se objevilo u jednoho čerstvého článku. Jediného článku.

Těžko říct jakým způsobem můžete snadno a rychle dosáhnout toho, že zcela čerstvě vydaný článek začne Google Chrome blokovat a tvrdit, že jde o phishing. Řeč je o článku původně vydaném s touto adresou - http://www.lupa.cz/clanky/google-pry-jedna-s-visa-mastercard-a-paypal-jak-zastavit-financovani-piratskych-webu/ - a který nakonec najdete na nové adrese - http://www.lupa.cz/clanky/google-visa-mastercard-a-paypal-pry-jednaji-o-zastaveni-financi-pro-piraty-doplneno/ (Google, Visa, MasterCard a Paypal prý jednají o zastavení financí pro piráty). Tu mu bylo nutné přidělit, protože se nějakým způsobem ta jeho původní dostala na "černou listinu". Skutečně tohoto jediného článku, několik desítek minut po jeho vydání.

Bohužel hláška zabraňující vstupu pouze umožňuje "nahlásit" omyl, vrátit se zpět nebo "pokračovat na vlastní nebezpečí". Žádné bližší údaje k dispozici nejsou, byť v jiných případech Google umožňuje získat nějakou tu zprávu o tom, proč (a kdy) k označení pro závadnost došlo. Klasická "Safe Browsing" diagnostika (viz například www.google.com/safebrowsing/diagnostic?site=lupa.cz) se tohoto případů také  netýká (a v tomto případě se na tuhle adresu stejně musíte vydat ručně).

Klasický způsob jak přijít o účet na Facebooku co neměl dlouhého trvání

Tenhle phishing neměl dlouhého trvání, směřoval na adresu best-dating2013.info, která už ovšem neexistuje.  Potkat ale bylo možné ještě další varianta - fresh-dating-2013.info a dokonce i datingcool2012.asia. Na té poslední je zajímavé to, že ještě stále funguje, ale přesměrovává na www.msn.com.

U Facebooku je možná dobré vědět, že pokud vám Facebook zablokuje účet, tak vám o tom žádnou zprávu nepošle. Dozvíte se to až v okamžiku, kdy se budete chtít na Facebook přihlásit. A ve většině případů vás čeká jedna ze tří metod ověření "pravosti" vašeho účtu - podstupně od oveření e-mailu a telefonního čísla až po nutnost poslat až dvě kopie dokladů.

Nová vlna hacků účtu na Twitteru využívá i Facebook

Martin Ehl mě dnes ráno obdařil klasickou phishingovou zprávou. "did you see your pics with her" doplněnou odkazem na facebook - apps.facebook.com/362166963874075  je aplikace na Facebooku, která si od naivního člověka vyžádá přihlašovací údaje ke Twitteru.

Je hodně fascinující, že někoho tímto způsobem dokážei dostat, ale Martin Ehl se zjevně nechal nachytat a jeho účet na Twitteru se tak dostal do rukou útočníků. A všichni jeho sledující od něj dostali stejnou zprávu.

Celé je to samozřejmě velmi podobné "Terrible rumors about you" co se šíří Twitterem (článek na Lupě z včerejška). A platí i to co je v onom článku uvedeno na konci - pokud se vám podařilo naletět, zkuste okamžitě změnit heslo. Nejde-li to, zkuste si zažádat o nové, mělo by vám dorazit na e-mail. Pokud útočník změnil i váš e-mail, tak máte smůlu, s účtem se rozlučte. Získáte-li kontrolu nad účtem zpět, rozhodně nezapoměňte provést kontrolu jaké aplikace vám mohl útočník k účtu přidat. A samozřejmě, nezapomeňte se omluvit svým sledujícím.

 

Aktivní vlna phishingu na zákazníky Apple

"Apple update your Billing information" a upozornění na nutnost "aktualizace" údajů od "Apple Customer Support". Google Apps/GMail s podobnou zprávu rovnou přikládá rudé varování o "opatrném zacházení" a má samozřejmě pravdu Místo k Apple vás to zavede na manibina.byhx.info/APPLE/apple.htm a potkáte tam poněkud nedokonalou "kopii" webu Apple. Ale žádné pochyby o tom, že na to možná naletí hodně lidí.

Twitter účet @revizoripraha hacknut, nebuďte stejně hloupí a nezodpovědní (aktualizováno)

 "Ad spam: Tweety smazány, spammer vyřazen z databáze."  je opravdu originální reakce na to, že @revizoripraha si nechali hacknout účet na twitteru a jejich prostřednictvím se šířil ne klasický "spam", ale vedlo to k hacknutí dalších lidí. Dodejme že stejně nezodpovědných jako @revizoripraha.

Klasické "i cant believe this but there are some real nasty things being said about you here gourl.kr/Ag9hIR" na které už Twitter mezitím zaregoval zařazením na černou listinu. Bohužel stále příliš pomalu, takže @revizoripraha se postarali na českém Twitteru o hacknutí dalších lidí.

Poznámka - těch zpráv (textů) co hacknuté účty posílají je několik desítek, různých. Například "This video with you in it had me dying lol". Pokud je chcete vidět, dobrý přehled je ve Watch out for These Direct Messages in your Twitter Stream

Než budete případně onu zkrácenou adresu zkoumat - vede na další okamžité přesměrování na www.litwittier.com/r1/ a tuhle adresu(jméno) v DNS nějak už nelze najít (a registrovaná je klasicky kamsi do Číny). Skutečnost je taková, že na téhle doméně byl ten nejprimitivnější způsob phishingu - přihlašovací stránka do Twitteru. Takže @revizoripraha, stejně jako kupa dalších lidí, prostě zjevně opravdu tupě vypnuli mozek a své přihlašovací údaje tam zadali. Nepochopitelné. 

Twitter účet @revizoripraha hacknut, nebuďte stejně hloupí a nezodpovědní

Co je ale opravdu hodně nepochopitelné je, že @revizoripraha místo omluvy a varování takhle hloupě schovávají vlastní neschopnost. Nezodpovědnost.

Zajímavé na téhle nové vlně haknutých účtů je, že stejný způsob (a dokonce stejné texty) je používán už někdy od roku 2009. Viz například Phishing Scam Spreading on Twitter z ledna 2009.

Stali jste se obětí?

Pokud ano, tak nezapomeňte, že je nutné udělat uplně první zásadní věc - okamžitě změnit heslo k vašemu účtu na Twitteru. V počítači byste sice žádný virus mít neměli, ale neuškodí kontrola. Je i málo pravděpodobné, že došlo k přidání nějakých aplikací k vašemu účtu, ale i to je vhodné prověřit. A poslední co určitě udělejte je, upozorněte vaše sledující, pro případ, že někdo byl stejně nezodpovědný a nechal se hacknout. 

DODATEK 13:40 - "FUUUUUUUUUJ @poohcz #FAIL FUUUUUUUUUJ!!!!!!!!!!!"  (via @revizoripraha)

@revizoripraha tvrdí, že jsem ostuda žurnalistiky a že oni jsou nevinní, že jenom jejich bot retweetnul DM, kterou dostali. Klidně ostuda žurnalistiky bude, protože jestli k něčemu takovému došlo, je to uplně stejný malér jako cokoliv jiného.

Slepě šířit zprávy s virem vedoucí k hacknutí dalších lidí je stále stejná nezodpovědnost. A zametení pod koberec slovy o "smazání spammera" je stále stejný problém.  Prý jsem se "měl zeptat" jak to bylo. Rád bych, ale anonymního účtu bez kontaktu se ptát neumím. Ale rád jejich snahu o retweet "FUUUUUUUUUJ @poohcz #FAIL FUUUUUUUUUJ!!!!!!!!!!!" podpořím.

Váš účet na Facebooku bude zrušen, někdo vás nahlásil. Klasický phishing, a klasicky úspěšný

Kaspersky Lab upozorňuje na vlnu phishingu (rhybaření) na Facbeooku. Začíná tím, že od někoho dostane zprávu, ve které je uvedeno, že váš účet na Facebooku bude zrušen, protože vás někdo nahlásil. Čemuž můžete zabránit, pokud potvrdíte autentičnost vašeho účtu. Připojen je odkaz na klasický phishingový web, který "vypadá" jako Facebook. Na útoku je zajímavé i to, že využívá (samozřejmě) hacknutých účtů (získá je právě pomocí phishingu) a mění jejich profilové foto na logo Facebooku a ještě navíc jim mění jméno na "Facebook Security" kde jsou ale některé znaky (a, k, S a t) nahrazený "podobnými" znaky (viz screenshot).

"Last Warning: Your Facebook account will be turned off Because someone has reported you. Please do re-confirm your account security by: => http://apps-xxxx-xxxxx-user.de.vu
Thank you. The Facebook Team
"

Phishingový web od uživatelů vyžaduje zadání jména, příjmení, e-mialu, hesla k Facebooku, hesla k mailové schránce a dalších údajů. Jak už to tak klasický chodí, jakkoliv tento phishing vypadá absurdně a průhledně, uživatelé na něj skutečně naletí.

Po zadání informací se obejví upozornění, že pro potvrzení účtu je nutné zaplatit a uživatel je tak doveden k zadání čísla kreditní karty, včetně CSC/CVV kódu. I zde je těžké uvěřit, že by snad někdo mohl na něco takového přistoupit, ale opak je pravdou.

Zdroj: Facebook Security Phishing Attack In The Wild

Zjistěte si zda vaše kreditka byla odcizena.

"If you fear your credit card info has been stolen, enter it here and you can find out for free. Avoiding fraud has never been easier!" ... ano, schválně, co se stane, když tam údaje ze své karty vložíte?

http://ismycreditcardstolen.com/

Nejvíce nebezpečné domény - COM, INFO, VN, CM, AM, CC

Každoroční zpráva McAfee mapující výskyt virů a škodlivého software na jednotlivé internetové domény přináší několik překvapení - .VN (Vietnam) se vyšvihl na třetí místo a .info se stalo ještě více nebezpečným místem. Česká republika je stále na 54 místě.

Uživatele Facebooku i World of Warcraft zaplavují podvodné maily

Jinak se tvářící odkaz v mailu poslouží k nalákání uživatele Facebooku na nabídku Viagry. Moc chytré to není, ale funguje to. Co ale funguje ještě víc je krádež účtu ve World of Warcraft - příklad klasického phisingu je druhý kousek, který najdete v článku.

617 571 korun v trapu a Patrik Chan se směje. Pohádka o lidské hlouposti

Patrik Chan mi napsal naposledy někdy vloni. V archivech od něj mám desítky mailů a ve všech mi nabízí možnost jak bez práce zbohatnout. Desítky variant s jinými jmény se na Internetu už vyskytují roky. "Nigerijští spameři" přece nemohou být úspěšní si řekne člověk s mozkem v hlavě. Jsou. A hodně.

AVG: Uživatelé jsou na sociálních sítích zranitelnější než kdykoli dříve

Výzkum AVG a Rady marketingových ředitelů (CMO Council) ukázal, že masivní používání sociálních sítí přináší řadu nebezpečí. Je ale dobré se zamyslet nad tím, zda náhodou nemají máslo na hlavě provozovatelé sociálních sítí a zda AVG skutečně pochopilo, jak sociální sítě fungují

Pokračuje vlna phishingových útoků na uživatele Facebooku

Hacknuté účty slouží k rozesílání zpráv zvoucích na velmi hloupě vypadající phishingový web. Přesto, jak praxe ukazuje, stále existují lidé, kteří se na něco takového nechají nachytat.

Vodafone od prosince nechává na svém webu bezpečnostní chybu

V polovině prosince jsem upozornil Vodafone na bezpečnostní chybu na jejich webu - posílání "článku" elektronickou poštou nejenom že nemá ochranu Captcha proti strojovému zneužití, ale bohužel ochotně propouští jakýkoliv HTML kód - viz ČiliChili na webu, úděsný design. A drobný bezpečnostní problém (no, spíš nedodělek).

O více než dva měsíce pozdějí se na ČiliChilli můžete stále stát rhybářem, připadně použít tenhle web jako základnu pro masivní spam. Vodafone je to jedno.

"Povinné" datové schránky přinesou nová bezpečnostní rizika

Teoreticky ve velmi blízké budoucnosti se dočkáme "povinných" datových schránek. Už jsem o problému s nesmyslným řešením psal v Povinné doručovací datové schránky? Drahý státe, takhle NE!, ale jak už to tak u státem prosazovaného IT řešení bývá, stejně to nakonec bude tak jak si "stát" (nebo spíš nějaká ta chytrá IT firma přeje) přeje. Technické řešení bude mít pochopitelně řadu dalších aspektů (ne)bezpečnosti. Jeden takový je krásně viditelný v aktuálním scamu (podvodné maily) z USA - Criminals Hack CEOs With Fake Subpoenas a Notice: Invalid Subpoenas.

Model je jednoduchý, podnikatel obdrží mailem informaci, že jeho společnsot je žalována státními orgány. V mailu je odkaz, na který má kliknout, aby obdržel právní dokumenty spojené s žalobou. Pak už následuje klasický mechanismus - podvodný web, "nutnost" instalovat plug-in (aby bylo možné dokumenty prohléednout, tvářící se jako Acrobat.exe). Výsledek je, že útočník získá přístup do počítače oběti. V angličtině je tento druh phishingu označován jako "spear phishing" (spear = oštěp/kopí) a od běžného phishingu se liší právě adresností - zpravidla obsahuje konkrétní údaje o osobě nebo společnosti. Právě v případě společnosti jsou potřebné údaje snadno získatelné.

Povinné doručovací datové schránky budou skvělou příležitostí pro spuštění plošného útoku na firmy v ČR. Útočníkům stálo za námahu dva měsíce odesílat desítky milionů phishingových zpráv mířícíh na Českou spořitelnu, v případě dobře cíleného phishing na firmy tvářícího se jako výzva k vyzvednutí informací z datové schránky je dost jasné, že první vlny budou mít enormní úspěch.

Vypadá to jako Facebook, není to Facebook. Phishing je to!

Je to tak, vypadá to jako Facebook, ale Facebook to není. Takhle nějak by mohla znít hádanka pro desítky milionů uživatelů sociální sítě Facebook.com. A odpověď by byla jednoduchá. Je to ten nejprimitivnější pokus o Phishing.

Najdete ho na adrese view-facebookprofiles.com/, respektive www.join-today.net/face/index.html (kde je stránka finálně umístěna). K Facebook uživatelům se dostává jednoduše, jako upozornění na založení nového profilu, který byste si tedy měli přidat do svých přátel. A pak už následuje jenom klasický pokus o sběr přihlašovacích údajů.

Praktická ukázka marnosti - Citibank vyžaduje po svých klientech zadávat PIN online

Citibank aneb ukázka popření všech zásad bezpečného chování online. Jedině tak lze nazvat stále přetrvávající ignorantské chování této banky ke svým zákazníkům. Zároveň jde o ideální příklad rozhraní, které přímo volá po využití pro phishing. Není přece nic snazšího, než naučit zákazníky, aby na Internetu zadávali PIN své karty. A není lepšího příkladu, jak likvidovat veškeré snahy o výchovu internetových uživatelů.

Citibank aneb ukázka popření všech zásad bezpečného chování online

Phishing na Českou spořitelnu používá už i obrázky

Phishing Česká Spořitelna - obrázkovýDnes jsem poprvé v mailu objevil phishing na klienty České spořitelny používající metody obrázkového spamu. Vcelku očekávatelný vývoj, poté co většina spam filtrů bere všechny povedené i nepovedené zprávy jako jasný spam.

Finální místo, kam tento phishing vede, je miami.lasnite.com/images/pro/dispatcher.php?aid=19991999 - z adresy je zřejmé, že obsah je nahrán na web zjevně bez vědomí jeho vlastníků, takže další hacknutý web. Umístěna tam je kopie stránek pro přihlášení do online bankovnictví.

Phishing sbírá číslo karty, datum ukončení platnosti a PIN karty. Tvůrci si dali práci s odstraněním většiny odkazů, které ČS má ve svých stránkách. Holt co kdyby jim rybička někam utekla :)

 

Lov na klienty České spořitelny stále pokračuje

Je k nevíře jak dlouho už běží masivní spam snažící se nalákat klienty České spořitelny. Už jde o plné dva měsíce a poslední dva týdny jsou ve znamení i více než deseti phishingů přistávajících v jednotlivých poštovních schránkách. K předchozím zmateným textům tak mohu přidat dva čerstvé:

Tvůj úvěrová karta a ono zdá se aby tebe ar using člen určitý týž úvěrová karta do 2 účet. Ačkoliv tebe pocínovat číst do náš Právo užívání Souhlas ( úsek 5.11 ) otevření mnohonásobný účet is přesně řečeno nepřípustný Tebe ar teď dotaz až k darovat hlášení důležitý až k tvůj účet. Ceska Sporitelna vůle pátrat člen určitý hmota ihned a -li člen určitý pátrání is do tvůj dopis , my vůle navrátit tvůj účet.

Cvaknout v rozhlase být zapojen navrátit tvůj účet:

Být příjemný činit ne namítat až k tato elektronická pošta. Dát na poštu poslaný až k tato adresovat dělostřelectvo být odpověděl Do pomoc , navázání až k tvůj Ceska Sporitelna účet a chtít člen určitý " pomoci " být zapojen člen určitý pata stránky of jakýkoliv blok.

A než se podíváte na druhý, uplně nový, tak jenom doplním, že podle informací České spořitelny se již dříve na phishing několik klientů nachytalo - svoji chybu si ale  uvědomili a kartu nechali zablokovat dříve, než došlo k nějakým škodám.

Chránit Tvuj Císlo Visa Online

Tvuj Císlo VISA pred - prihlásit se do Verified By Visa poslouzit jídlem chránit proti zneuzití online - v ne dodatecné náklady.

Druhdy tvuj card is aktivoval , tvuj card císlo vule tázat se na tvuj Verified by Visa heslo kdykoli tvuj card is opotrebovaný v úcast online oparuje.

Cvaknout odrocit. Aktivovat Ted do Verified By Visa.

Phishing na Českou spořitelnu používá trik s odměnou za průzkum spokojenosti

Během dnešního dne dorazila zhruba desítka! phishingových mailů mířících na Českou spořitelnu. Až na jeden nešlo o nic nového, včetně zcela pokažených mailů psaných azbukou případně strojově přeloženou češtinou. Nový je ale mail v angličtině, slibující 1 500,-Kč tomu, kdo vyplní průzkum spokojenosti se službami. Samotný průzkum je také v angličtině na adrese info.underthebanyantree.ca/www.csas.cz/survey.html?ssl=1 a  můžete ho rovnou odeslat, vlastní trik je až na další stránce, kde po vás budou pochopitelně chtít údaje o platební kartě (abyste mohli dostat ony slíbené peníze). Úměrně důležitosti si tato stránka JavaScriptem hlídá, abyste údaje vyplnili správně.

Nejsem si jist, jestli tenhle model útočníci již použili, každopádně jde o poměrně revoluční změnu - po bezpečnostním update a zamítnuté platbě se dostat k vyplnění dotazníku za 1 500Kč. Pokud by mail a stránky byly správně česky, docela bych byl v pokušení si myslet, že takový phishing by měl poměrně velkou šanci na úspěch. A nejenom u klientů České spořitelny, protože o ty vlastně v tomhle phishingu vůbec nejde.

3.3.2008 : Spam pokračuje s novou adresou arrakis.is.net.pl/~lee/csas.cz/banka/appmanager/portal/banka-survey/home/survey.html

PayPal tvrdí, že prohlížeč Safari není bezpečný

Co asi provedlo Safari, že se dostalo na černou listinu PayPalu? Ten vydal pofiderní prohlášení, ve kterém varuje klienty před Safari prohlížečem. Nechrání je prý dostatečně před podvodem (phishingem). Uživatelům doporučuje používat IE7, Firefox 2/3 a Operu.

Je nejspíš pravda, že Safari nemá zabudovaný phishing filtr, který by měl uživatele varovat, pokud se objeví na podvodném webu. Ten sice v IE7/FireFoxu najdete, ale v praxi je užitek těchto filtrů diskutabilní. Phishingové weby jsou primárně poznávány podle adresy uváděné na blacklistu - a pokud tam ta adresa prostě není, tak phishingový filtr dělá jediné - vzbuzuje falešný pocit bezpečí.

Na konci roku 2006 provedený test (viz Kdo lépe chrání proti rhybaření) to nakonec ukazuje dost jasně. Hovoří o 66-78% úspěšnosti testů. Dost na to, aby zde byl právě zmíněný falešný pocit bezpečí.

Pokud se snad domníváte, že neexistuje známá metoda jak phishing filtr ve Firefoxu zmást, tak se domníváte špatně. Už od verze 2.0.0.1 (přesně od února 2007) je známo, že přidávání lomítek v adrese zmate filter. Vyzkoušejte si stránku www.mozilla.com/firefox//its-a-trap.html (filtr se neaktivuje) vs. www.mozilla.com/firefox/its-a-trap.html (filtr se aktivuje). Je vůbec možné ještě hovořit o tom, že by uživatelé PayPal měli opravdu používat "bezpečný" firefox?

Ještě podivnější je další výtka - Safari prý nepodporuje Extended Validation (EV) Certificates. Jde o novou technologii, která by měla proměnit adresní řádku na zelenou tam, kde je jistota, že web je "ten správný". Nejenom, že je již známé (An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks), že uživatelé vůbec nevnímají rozdíl, ale EV certifikáty už byly prokázány jako nepoužitelné - lze je totiž obejít. Detaily v článku Extended Validation certificates and XSS considered harmful, ve kterém nakonec zjistíte to samé - nebezpečný web je phishingovými filtry označen jako zelený (bezpečný) a to i při použit EV certifikátu. Takže další falešný pocit bezpečí.

 

 

Další phishing. Českou spořitelnu musí někdo mít velmi v oblibě

Phishing - Česká Spořitelna - 208/02/26Někdy v lednu začala vlna phishingu (rhybaření), objevilo se několik variant mailů i stránek pro sběr údajů. Většina z nich proslula hlavně zábavnými chybami (Skonání Datle a ATM Cvok patří mezi nejlepší výsledek).

Konec února přináší  novou vlnu phishingu. Nejprve stejně pokaženou jako ty předchozí, ale pozdější podoby jsou už podstatně věrohodnější. Dnes ráno se objevil e-mail, který se snaží informovat o neprovedené online transakci. Uživatele navádí na hacknuté osobní stránky na adrese leif.pite.org/cekscz.

Phishing Česká Sporitelna - 2008/02 - Sběr datTy obsahují přihlašovací formulář do online bankovnictví (Servis 24) a posléze klasický sběr dat (číslo karty, platnost, PIN a pochopitelně ověřovací kód) - screenshot můžete ostatně vidět vpravo. A protože jde o uměle vytvořenou stránku, jsou všechny linky nefunkční a přítomna je i mírná chyba (ATM PIN Kódu) - jinak je stránka česky (až překvapivě) správně. A funkční jsou dokonce i kontroly na vyplnění údajů.

Narozdíl od všech předchozích variant, zde jde o případ nejenom promyšlenější (volí jinou formu pobídky k přechodu na falešné stránky), ale také dotaženější do konce - zjevně se objevil někdo, kdo vládne češtinou a vše pro něj není jenom kupa nesrozumitelných slov. Samotný sběr dat je také více propracovaný, po odeslání prvního formuláře dokonce existuje ještě mezistupeň, ve kterém chtějí kontrolu údajů. Po finálním potvrzení (v té době pochopitelně útočníci už dávno všechna data mají) je uživatel přesměrován na pravé stránky České spořitelny.

 

 

Další verze phishingu pro klienty České spořitelny

Phishign Česká spořitelna - 2008/02Jenom velmi těžko si lze představit, že by se někdo měl nachytat na novou verzi phishingu (rhybaření) klientů České spořitelny.

Cílová stránka je http://file.koda.or.kr/vod/trs/, kde je jako obvykle kopie hlavní stránky České spořitelny (docela stará), která používá již starý známý "Skonání Datle" a "ATM Cvok" formulář.

Mail se jako obvykle zobrazuje v azbuce. Na vině je opět kombinace chybějící specifikace znakové sady a Outlook, který se s tím nedokáže příliš vyrovnat.

Máte 1 novou bezpečnostní zprávu

Centrum bezpečnosti: Kapacita Vaše schránky byla překročena.  Klikněte sem pro vyřešení.

Děkujeme Vám za použití Ceská sporitelna
Ceská sporitelna Team 


( strana 1 z 2 ) Starší články >>> ( celkem článků: 34)