V českém internetovém rybníce je zatím od „rhybářů“ celkem klid, ale ve světovém měřítku je phishing aktuální hrozbou. Dokonce takovou hrozbou, že ochrana před phishingem se stala jednou z klíčových novinek v MS Internet Exploreru 7.

K velkému pokusu o phishing došlo podle informací včera večer, kdy kdosi hromadně rozeslal e-mail, který se vydává za zprávu České spořitelny. Zajímavé je, že tato zpráva dorazila i do schránek uživatelů, kteří účet u České spořitelny neměli a nemají. To je ostatně i můj případ: první e-mail mi přišel na adresu kkml@1pcrevue.cz včera ve 21:33, další pak na adresu redakce@1pcrevue.cz ve 21:45. Oba e-maily byly vyhozeny mým spamfiltrem, který je na základě DCC filtru označil jako nevyžádanou poštu. Je velice pravděpodobné, že tato zpráva byla poslána na všechny veřejně publikované e-mailové adresy v doméně .cz (patrně z nějaké databáze spamerů).

E-mail vypadá následovně:


Dobry den vazeni klienti!

Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci.
Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku.
Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu.

S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem.
Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu.
Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.

Vy jste byl (a) zvolen (a) jako jeden z ucastniku finalniho stadia testovani systemu.
V soucasne dobe Vam navrhujeme vyuzit odkaz https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system.
V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti.
Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.

Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.

S pozdravem, Oddeleni Banky pro ochranu pred frodem.


Všimněte si, že zpráva obsahuje odkaz, který sice vypadá, jako kdyby vedl na stránky Servis 24, tj. internetového bankovnictví ČS, nicméně ve skutečnosti se zákazník ocitne na některé z kopií webových stránek ČS, umístěných na počítačích v různých asijských státech (ostatně můžete si to vyzkoušet přímo z této stránky – odkaz jsem ponechal tak, jak byl). Na této webové stránce je pak požádán o zadání identifikačních údajů, tedy klientského čísla, hesla a dokonce i bezpečnostního kódu.

Pokud kliknete na odkaz, dostanete se na stránky, které skutečně vypadají jako oficiální web Servis 24. Ve skutečnosti jsou ale umístěny na jiném počítači kdesi v Asii. Nutno podotknout, že útočníci počítali i s tím, že cílové počítače budou postupně odstavovány, takže jednotliví zákazníci ČS byli směrováni na různé IP adresy. V mém případě vedl odkaz na http://202.157.132.58:9070/index.htm a ve druhé zprávě na http://203.250.135.22:9070/index.htm.

Po kliknutí uvidíte obrázek v plné velikosti

Po vyplnění údajů se pak zobrazí stránka, kde je pouze OK. Podle všeho následně dojde k odeslání zadaných údajů do databáze útočníka.

Po kliknutí uvidíte obrázek v plné velikosti

Ačkoli Česká spořitelna zavedla autentizaci klientů skrze SMS zprávy, díky zadání bezpečnostního kódu bylo dříve možné, aby útočník změnil telefonní číslo, na které bude ČS posílat autentizační SMSky. Aktuálně je ale tato možnost deaktivována, takže čistě teoreticky si útočník může maximálně tak prohlížet zůstatky na účtech ulovených zákazníků.

Vraťme se ještě k samotné e-mailové zprávě. Podíváte-li se do hlavičky, je na první pohled zřejmé, že se jedná o podvrh (minimálně adresa odesílatele servise@csas.cz je špatná). Zpráva byla posílána z většího počtu počítačů, takže se může případ od případu lišit. V mém případě vypadala takto:

Return-path:
Received: from [85.103.209.231] (port=3063 helo=lpts)
id 1GXk1O-0003wr-1z
for redakce@1pcrevue.cz; Wed, 11 Oct 2006 21:45:49 +0200
Received: from hacarztbii by lpts with local (Exim 4.42 (FreeBSD))
id 1GXk1Z-000OTF-ZV
for redakce@1pcrevue.cz; Wed, 11 Oct 2006 22:45:53 +0300
To:
Subject: Ceska sporitelna - Pozor! Nove bezpecnostni standardy.
From: "Ceska sporitelna"
Content-Type: text/html;charset=windows-1250
Content-Transfer-Encoding: 7BIT
Message-Id: <1GXk1Z-000OTF-ZV@lpts>
Sender: User hacarztbii
Date: Wed, 11 Oct 2006 22:45:53 +0300

Česká spořitelna na problém zatím (8:30 ani 10:40) nijak nereagovala a zákazníky na možné riziko neupozornila. Pamatujte si tedy, že žádná banka po vás nebude požadovat přihlašovací údaje elektronickou poštou! Na podobné odkazy neklikejte, žádná hesla nikde nevyplňujte a podejte informaci na klientskou linku vašeho bankovního ústavu!

Categories: Aktuálně

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *