Bojujte proti frodu!

Hlasim dalsi IP - Australie:
202.157.132.58:9070

To je normální vývoj. Zatímco Hitlera ještě dnes bereme víceméně za padoucha, tak už pohled na první světovou už není takový jako dřív. Spousta historiků to bere prostě jako válku kde nikdo nebyl lepší a vinu za její rozpoutání rozděluje mezi obě strany. Na napoleonské války už máme zcela neutrální pohled a kdybych šel na připomínkové slavnosti k bitvě u Slavkova někoho poučovat, že Napoleon byl řezník Evropy, tak budu za exota.
A prostě od napsání Pána prstenů uplynula dost velká doba a po všeobecném nadšení z filmu přichází čas na nový pohled. Opravdu je tak skvělé, že vyhráli lidé? Opravdu se máme radovat z toho, že Frodo odmítá vrátit prsten, který mu nepatří, přestože ví, kdo je skutečným majitelem? Co to proboha je za přístup - mám něco co patří jinému a raději to zničím, než bych mu to měl vrátit? Opravdu mám jásat nad tím, že byl poražen Sauron, který mohl sjednotit Středozemi a vytvořit něco velkého, něco co lidé nikdy nedokáží? Opravdu si chcete brát příklad ze zloděje Froda? Je docela pochopitelné, že velké korporace mají zájem aby obyčejní lidé respektovali zákonnost a ve Frodovi vidí něco proti čemu je třeba bojovat. Tak tam klikněte ať mám na další sirup proti kašli.

Ten login formular neni uplne presne stejny - chteji jeste bezpecnostni kod (aby mohli zmenit telefonni cislo pro zasilani certifikacnich sms).

Ale presto ze jsem ho tam zadal spravne tak to nejak nefunguje... Inu Sporka, vzdycky maji neco rozbite :-)

Mě přišly s odstupem 15 minut výzvy dvě, vedoucí na 210.211.139.140 i na 202.157.132.58, tak jsem jim tam něco nesmyslného vyplnil a vypadlo na mě "ok". Dopis byl jednou odeslán z Polska a podruhé z Německa.

Vážení,

všechny údaje jsem poctivě vyplnila, přesně jak doporučujete a napsalo to "ok", aniž by mě to přihlásilo. Znamená to, že mi byl nový systém zapnut, anebo už byly moje účty zablokovány? Pořád to píše "ok" a do bankovnictví se nemůžu dostat. Prosím o urychlenou nápravu! V opačném případě podniknu příslušné kroky!

Děkuji a jsem s pozdravem,

Alena Bednářová

Aleno Bednářová, chci s tebou mít dítě!

[8] Ironie, nebo hloupost - nepoznám. Aleno, doufám, že dřete bídu a nouzi, protože pokud ne, tak teď už nejspíš ano a někdo si cpe vaše prachy do Švýcar.

si delate srandu, ale ja to vyplnil a prisel jsem o vsechny penize .. sem jsi pujcil od znameho na letenku do ciny a jedu si je najit ..

To Hide: Jasne, ted pred dvema hodinami jsi to vyplnil a pred chvili jsi se prihlasil a uz je to vybrane. CS urcite na zaklade tohoto mailu zrychlila transakce do Asie... :-)

Nahlasil jsem to na phishing site Microsoftu, jeste to neznal

Me to poslali z Mexika (dup-148-221-59-78.prodigy.net.mx) a prihlasovaci formular je v Indii 210.211.139.140.bb-static.vsnl.net.in, ze by na nejakym zombii compu?

A jeste by me zajimalo, kde vzali e-mailove afresy, na ktere byl phishing dorucen a zda-li je poslali jen uzivatelum sluzby Servis24?

[15] Došlo to i do konference (ibm-pc@debian.cz), takže to zas tak moc cílené na ČS uživatele být nemohlo...

Nerad Vas vytrhavam z tridniho boje, ale "frodo" by mel byt s velkym "F" (tedy tady to zavani konsipiraci to Velke F. Asi zacinam tusit kdo za tim stoji, nevi o tom neco Fuxoft?)

To pro poradek. Tridniho nepritele je potreba oznacit tak, aby nemohlo dojit k zamene, pak by se hnev pracujici tridy zbytecne tristil.

[15] spamují natvrdo všechny, na koho mají mail. Účet u ČS nemám a taky mi to přišlo asi na 4 emailové účty.

Vďaka za varovanie, ešte som také na vlastné oči nevidel.

Pane Fuko,
ja sice chapu, ze tento blog na lupe ctou lide obezretni a znali, co se tyka phishingu, ale muze se zde objevit vyjimka. Ten dotycny se pak bude divit co se deje, kdyz se zachoval presne jak uvadite v poslednim odstavci. Je prece rozdil, kdyz se podvodny email objevi ve schrance od neznameho odesilatale, a kdyz podvodnou adresu zduraznuje (ikdyz ironicky) znama osobnost na serioznim serveru. Pro vas to muze byt legrace, ale nekdo to treba tezce zaplati.
Ale i tak hezky den.
V

Dobrý postřeh, Flasi, a to ještě možná někteří nevědí, že Mordorem byl míněn socialistický tábor, půlčíci byli kulaci a elfové feudálové.

203.250.135.22
country: EU # Country is really world wide

Zjistovat IP adresy neumim, ale v odesilateli krome hromady pismenek bylo i 201-138-203-140

Ach jo, mě nikdy nic nepřijde :-(. Asi jsem málo bonitní klient...

CS radi na mail nereagovat a smazat, neni to ale chyba?
Neni lepsi naopak na kazdy mail reagovat a tu prihlasovaci stranku pouzit, samozrjeme s vymyslenymi udaji (ktere se ani trochu nepodobaji pravym prihlasovacim udajum).

Pokud by to kazdy udelal, tak utocnici ziskaji ziskaji seznam napr. 30 000 udaju,ktere jsou jim uplne na houby, ale maji s nimi praci:
1. Musi to z tech ruznych pakistanskych pocitacu dostat k sobe - pri tom je muze nekdo vypatrat.
2. Musi kazdy udaj overit, zda funguje nebo ne - docela dost prace, navic zase hrozi riziko odhaleni utocnika.
3. Nebo to overovat nebudou a celou db nekomu prodaji. Ten zjisti, ze to nefunguje, tak utocnika poradne zmlati a vezme si penize zpet, nebo ho rovnou zabije.

V kazdem pripade, uz to asi nezkusi znova (ale urcite to zkusi nekdo jiny).

Co na to rikate?

A Frodo Pytlik si bude moc oddechnout, ze je o jednoho Sarumana mene.

nevim proc vsichni mrmlate, me se tato sluzba libi, takze odpoledne pujdu a zaridim si u nich ucet a prevedu tam vsechny prachy. konecne nekdo, kdo mysli na bezpecnost. kdyz maj tech serveru vic po svete, tak je prece mensi pravdepodobnost, ze nekdo hackne zrovna ten na kterym mam prachy ja. divim se, ze to uz davno nenapadlo i jine banky.

Tohle jim posle 100 nesmyslnych udaju:

#!/bin/sh

for i in `seq 100`
do
LOGIN=`mkpasswd -l 10 -d 10 -c 0 -C 0 -s 0`
CODE=`mkpasswd -l 8 -d 8 -c 0 -C 0 -s 0`
PASS=`mkpasswd -l 10 -s 0`
REQUEST1="http://2­10.74.232.53:9070/lo­gin.php?"
REQUEST2="defau­ltbutton=sendbut­ton&XX23F=121564&UT­XX23F=IBANKIN­G&"
REQUEST3="cffvhid­formid=ib_trn_l­ogin&getDIGXX23F=2d7c15­b982464994051e3dcdbb7b99­94593860b1&"
REQUEST4="getAL­GXX23F=SHA1&ge­tENCXX23F=HEX&b­rowsersupport=tru­e&getAUTHSCHE­ME=DIGEST&"
REQUEST5="lan­g=cs&jssuppor­t=true&altmet­hod=&login=$LO­GIN&pass=$PAS­S&code=$CODE"
REQUEST=${REQU­EST1}${REQUES­T2}${REQUEST3}${RE­QUEST4}${REQU­EST5}
echo $REQUEST
wget -q -O - $REQUEST >/dev/null
done

Mně tenhle spam ještě nepřišel, kde to mám urgovat?

parada zkusil sem to a NOD32 me tam nepustil :)

Mně ta stránka nefunguje! Pomóc, Frodo mě dostane!!!

LOL, ja na to kliknu a on mi sletel internet :) Ty cesky radiokomunikace maj dobrej anti-phishing system :)

Prislo mi to, i kdyz nemam ucet u CS. Traceroute na link skonci nekde v Pakistanu. :-)
Mimochodem k posledni vete:
"...kde je něco, co přesně kopíruje login České spořitelny."
Neni tam neco, co presne kopiruje login CS, protoze tahle stranka se mi zobrazi v SeaMonkey, zatim skutecna logovaci stranka CS mi jen vynada, ze pouzivam spatny prohlizec.

Firefox2 RC2 ma uz pri tejto stranke varuje pred 'Web Forgery'

Me to zahodil mailserver jako spam :( Nebyl validni SPF zaznam :).

Poslat Fake mail přes SMTP server je otázka několika minut. Ovšem může to udělat jen člověk se znalostí odhcozího SMTP servertu Čěeské Spořitelny. Pochybuju že by "spořka" zveřejňovala svoje servery jen tak.

to Simon Toth: Sletěl ti internet? To zní strašidelně...

Souhlas s 20, pliiiz zmente odkazy na neplatne, amateri se muzou nachytat i tu.

[27]: A to je co za jazyk? V mem Ubuntu Linuxu prikaz "mkpasswd" parametry "-l" nebo "-c" vubec nezna.

Ja bych tenhle spot vymazal pro podezření z porušení právních předpisů ČR a tím i kodexu blogera na Lupě

[38] tcl + expect

Jak si to vysvetlit, ze jinak spravne prelozeny text (az na ty vsechnY) ma v sobe takovou idiotskou chybu? (predpokladam, ze frodo ma byt asi cesky fraud)

To je zahada, pravdepodobne to nie je preklad z anglictiny, to by sa ta phising stranka nevydavala za cesku banku ale za nieco ine (Paypal, Ebay napr.)
Alebo prekladatel, ktory to prekladal chcel dostat zaplatene a zaroven nechcel aby na to naleteli ludia, tak tam umyselne zakomponoval chybu :)

diky za ty IP, dobra prace ;)

Nejak mi nepripada, ze cteme to same - cely ten preklad je naprosto ujety.

Samozrejme, ze je naprosto ujety, stejne jako skutecne dopisy od bank, operatoru atd.

doporucujem v [27] vymenit celu tu mkpasswd habaduru za nieco proste:
head -c8 /dev/random | uuencode -m - |
sed -n '2s/=*$//;2p'
(a to mi to urcite niekto este opravi na 1 pipe :D )

Dnes jsem měl v RSS dva odkazy:

http://www.lupa.cz/clanky/phishing-ceske-sporitelny-vede-stopa-do-ceska/
http://www.root.cz/clanky/cesky-phishing-v-akci/

které již nelze nalézt. Co se děje?

[47] to je hrozne srandovni:
(perex jednoho z tech smazanych - mesec)
"Člověku blízkému redakci Lupy.cz se ale podařilo najít stopu, která by mohla vést k autorovi falešných stránek služby Servis24 - Internetbanking."

Autor se tak akorat ztrapnil, tak ty clanky zase postrileli.

Meditoval totiz nad id="Ter Leeloo II" ve zdrojaku stranky, ale nepresvedcil se, jestli to nahodou neni i v originalnim prihlasovatku.

[38] RedHat a Fedora (a teda asi aj vsetky odvodene distribucie) maju mkpasswd a mktemp o hodne schopnejsie nez je bezne na inych distribuciach. Takze ropoznavaju aj viac optionov a dokazu lepsie veci. Ked som prechadzal na inu distro, tak som si tieto 2 programky kopiroval zo starej Fedory.

No jo, Vam chodi phishing zamereny na Ceskou sporitelnu, ale jak mam proti Frodovi bojovat ja, kteremu ve stejnou dobu (streda vecer) prisla podobna zprava ve svedstine zamerena na svedskou banku Nordea ? Asi autori nejak z domeny centrum.cz vytusili ze jsem dlouholetym klientem banky Nordea.

[47,48]

Jo byla to sranda, cely clanek byl napsany ve velmi investigativnim pojeti, kdy ctenar mohl s napetim sledovat, jak je lupa.cz na stope maleho ceskeho phisera a jak tajuplne a zajimave patrani probihalo:)

ja jsem presel na Firefox 2.0 a kdyz jsem si tu stranku zobrazil, ihned me FF upozornil, ze se jedna o podezrelou webovou stranku. Dobre, ze uz 3 roky pouzivam kvalitni prohlizec zadarmo, byt na nejderavejsim a nejdrazsim operacnim systemu na svete!

hmm divné,pochybuju,že by měl někdo redhat na desktopu... (http://202.83.160.42/) nápis dole...
a ještě víc pochybuju,že by to byl nějaký backdoor/etc...

Ještě větší vlna bizarních "překladů" proběhla minulý měsíc, už je zase klid...