Jsem dojat. Dnešek je přelomovým dnem. Dnes mi přišel první phishingový e-mail v češtině, tvářící se jako upozornění od České spořitelny! I když, možná to není až tak úplně „čeština“ a nevím, co má kdo proti Frodovi z Pána prstenů a proč proti němu musí bojovat…
Dobry den vazeni klienti!
Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu.
S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem. Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu. Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.
Vy jste byl (a) zvolen (a) jako jeden z ucastniku finalniho stadia testovani systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti. Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.
Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.
S pozdravem, Oddeleni Banky pro ochranu pred frodem.
Adresa odesilatele byla „servise@csas.cz“ a odkaz v mailu ve skutečnosti vede na http://210.74.232.53:9070/index.htm (což je v Číně), kde je něco, co přesně kopíruje login České spořitelny. Samozřejmě, každý z vás by tam měl zadat své skutečné přihlašovací heslo České spořitelny a tak se ochránit před Frodem.
To je normální vývoj. Zatímco Hitlera ještě dnes bereme víceméně za padoucha, tak už pohled na první světovou už není takový jako dřív. Spousta historiků to bere prostě jako válku kde nikdo nebyl lepší a vinu za její rozpoutání rozděluje mezi obě strany. Na napoleonské války už máme zcela neutrální pohled a kdybych šel na připomínkové slavnosti k bitvě u Slavkova někoho poučovat, že Napoleon byl řezník Evropy, tak budu za exota.
A prostě od napsání Pána prstenů uplynula dost velká doba a po všeobecném nadšení z filmu přichází čas na nový pohled. Opravdu je tak skvělé, že vyhráli lidé? Opravdu se máme radovat z toho, že Frodo odmítá vrátit prsten, který mu nepatří, přestože ví, kdo je skutečným majitelem? Co to proboha je za přístup - mám něco co patří jinému a raději to zničím, než bych mu to měl vrátit? Opravdu mám jásat nad tím, že byl poražen Sauron, který mohl sjednotit Středozemi a vytvořit něco velkého, něco co lidé nikdy nedokáží? Opravdu si chcete brát příklad ze zloděje Froda? Je docela pochopitelné, že velké korporace mají zájem aby obyčejní lidé respektovali zákonnost a ve Frodovi vidí něco proti čemu je třeba bojovat. Tak tam klikněte ať mám na další sirup proti kašli.
Vážení,
všechny údaje jsem poctivě vyplnila, přesně jak doporučujete a napsalo to "ok", aniž by mě to přihlásilo. Znamená to, že mi byl nový systém zapnut, anebo už byly moje účty zablokovány? Pořád to píše "ok" a do bankovnictví se nemůžu dostat. Prosím o urychlenou nápravu! V opačném případě podniknu příslušné kroky!
Děkuji a jsem s pozdravem,
Alena Bednářová
Nerad Vas vytrhavam z tridniho boje, ale "frodo" by mel byt s velkym "F" (tedy tady to zavani konsipiraci to Velke F. Asi zacinam tusit kdo za tim stoji, nevi o tom neco Fuxoft?)
To pro poradek. Tridniho nepritele je potreba oznacit tak, aby nemohlo dojit k zamene, pak by se hnev pracujici tridy zbytecne tristil.
Pane Fuko,
ja sice chapu, ze tento blog na lupe ctou lide obezretni a znali, co se tyka phishingu, ale muze se zde objevit vyjimka. Ten dotycny se pak bude divit co se deje, kdyz se zachoval presne jak uvadite v poslednim odstavci. Je prece rozdil, kdyz se podvodny email objevi ve schrance od neznameho odesilatale, a kdyz podvodnou adresu zduraznuje (ikdyz ironicky) znama osobnost na serioznim serveru. Pro vas to muze byt legrace, ale nekdo to treba tezce zaplati.
Ale i tak hezky den.
V
CS radi na mail nereagovat a smazat, neni to ale chyba?
Neni lepsi naopak na kazdy mail reagovat a tu prihlasovaci stranku pouzit, samozrjeme s vymyslenymi udaji (ktere se ani trochu nepodobaji pravym prihlasovacim udajum).
Pokud by to kazdy udelal, tak utocnici ziskaji ziskaji seznam napr. 30 000 udaju,ktere jsou jim uplne na houby, ale maji s nimi praci:
1. Musi to z tech ruznych pakistanskych pocitacu dostat k sobe - pri tom je muze nekdo vypatrat.
2. Musi kazdy udaj overit, zda funguje nebo ne - docela dost prace, navic zase hrozi riziko odhaleni utocnika.
3. Nebo to overovat nebudou a celou db nekomu prodaji. Ten zjisti, ze to nefunguje, tak utocnika poradne zmlati a vezme si penize zpet, nebo ho rovnou zabije.
V kazdem pripade, uz to asi nezkusi znova (ale urcite to zkusi nekdo jiny).
Co na to rikate?
A Frodo Pytlik si bude moc oddechnout, ze je o jednoho Sarumana mene.
nevim proc vsichni mrmlate, me se tato sluzba libi, takze odpoledne pujdu a zaridim si u nich ucet a prevedu tam vsechny prachy. konecne nekdo, kdo mysli na bezpecnost. kdyz maj tech serveru vic po svete, tak je prece mensi pravdepodobnost, ze nekdo hackne zrovna ten na kterym mam prachy ja. divim se, ze to uz davno nenapadlo i jine banky.
Tohle jim posle 100 nesmyslnych udaju:
#!/bin/sh
for i in `seq 100`
do
LOGIN=`mkpasswd -l 10 -d 10 -c 0 -C 0 -s 0`
CODE=`mkpasswd -l 8 -d 8 -c 0 -C 0 -s 0`
PASS=`mkpasswd -l 10 -s 0`
REQUEST1="http://210.74.232.53:9070/login.php?"
REQUEST2="defaultbutton=sendbutton&XX23F=121564&UTXX23F=IBANKING&"
REQUEST3="cffvhidformid=ib_trn_login&getDIGXX23F=2d7c15b982464994051e3dcdbb7b9994593860b1&"
REQUEST4="getALGXX23F=SHA1&getENCXX23F=HEX&browsersupport=true&getAUTHSCHEME=DIGEST&"
REQUEST5="lang=cs&jssupport=true&altmethod=&login=$LOGIN&pass=$PASS&code=$CODE"
REQUEST=${REQUEST1}${REQUEST2}${REQUEST3}${REQUEST4}${REQUEST5}
echo $REQUEST
wget -q -O - $REQUEST >/dev/null
done
Prislo mi to, i kdyz nemam ucet u CS. Traceroute na link skonci nekde v Pakistanu. :-)
Mimochodem k posledni vete:
"...kde je něco, co přesně kopíruje login České spořitelny."
Neni tam neco, co presne kopiruje login CS, protoze tahle stranka se mi zobrazi v SeaMonkey, zatim skutecna logovaci stranka CS mi jen vynada, ze pouzivam spatny prohlizec.
To je zahada, pravdepodobne to nie je preklad z anglictiny, to by sa ta phising stranka nevydavala za cesku banku ale za nieco ine (Paypal, Ebay napr.)
Alebo prekladatel, ktory to prekladal chcel dostat zaplatene a zaroven nechcel aby na to naleteli ludia, tak tam umyselne zakomponoval chybu :)
Dnes jsem měl v RSS dva odkazy:
http://www.lupa.cz/clanky/phishing-ceske-sporitelny-vede-stopa-do-ceska/
http://www.root.cz/clanky/cesky-phishing-v-akci/
které již nelze nalézt. Co se děje?
[47] to je hrozne srandovni:
(perex jednoho z tech smazanych - mesec)
"Člověku blízkému redakci Lupy.cz se ale podařilo najít stopu, která by mohla vést k autorovi falešných stránek služby Servis24 - Internetbanking."
Autor se tak akorat ztrapnil, tak ty clanky zase postrileli.
Meditoval totiz nad id="Ter Leeloo II" ve zdrojaku stranky, ale nepresvedcil se, jestli to nahodou neni i v originalnim prihlasovatku.
[38] RedHat a Fedora (a teda asi aj vsetky odvodene distribucie) maju mkpasswd a mktemp o hodne schopnejsie nez je bezne na inych distribuciach. Takze ropoznavaju aj viac optionov a dokazu lepsie veci. Ked som prechadzal na inu distro, tak som si tieto 2 programky kopiroval zo starej Fedory.
No jo, Vam chodi phishing zamereny na Ceskou sporitelnu, ale jak mam proti Frodovi bojovat ja, kteremu ve stejnou dobu (streda vecer) prisla podobna zprava ve svedstine zamerena na svedskou banku Nordea ? Asi autori nejak z domeny centrum.cz vytusili ze jsem dlouholetym klientem banky Nordea.
hmm divné,pochybuju,že by měl někdo redhat na desktopu... (http://202.83.160.42/) nápis dole...
a ještě víc pochybuju,že by to byl nějaký backdoor/etc...
Vše je řečeno na www.fuxoft.cz
Přečteno 92 881×
Přečteno 84 676×
Přečteno 42 395×
Přečteno 40 508×
Přečteno 37 725×