czwartek, 21 stycznia 2010

Nowy atak na konta PKO w PL (Phishing)

Kilka dni temu przyszedł do mnie spam, który jest klasycznym przykładem Phishingu (Wikipedia). List otrzymałem na testowe konto, którego adres został udostępniony bardzo dawno temu (na demoscenicznej stronie WWW). Obecnie na tym koncie otrzymałem ponad 30 000 podobnych spamów !
... a nie wiem ile spamów zostało odbitych, bo czarna lista jest długa.

Tytuł otrzymanego listu to: PKO Bank Polski Online: Alert!, a oto treść:
    Szanowni Klienci.

    Z naszych danych wynika, ze w Internecie sesji zostalo zablokowane z powodu nastepujacych powod?w.

    1. Zaloguj sie na pr?bach z nieprawidlowych informacji.
    2. Niekompletne lub brakujacych danych dla tego konta PKO Bank Polski online.

    Apelujemy takze do przywr?cenia PKO Bank Polski online koncie natychmiast w celu unikniecia ostatecznego zamkniecia konta.

    Kliknij ponizszy link, aby przywr?cic

    PKO Bank Polski online Account

    PKO Bank Polski online
Oto nagłówek tej wiadomości:
    od: PKO Bank Polski
    do:
    data: Wt 2010-01-19 16:26:43
    temat: PKO Bank Polski Online: Alert!

A tak prezentuje się ta informacja (zwykły tekst):


Czyli jest to krótka informacja, ale spełniająca wszystkie wymagania phishingu:
1. prosta informacja, która ma wprowadzić w błąd czytelnika (ja nie mam konta w tym banku od dawna), wywołać zamieszanie, czy niepokój.
2. link do spreparowanej przez oszusta strony WWW

Jak czytamy na Wikipedii:
    Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.


W tym wypadku w treści listu nikt nie prosi o dane, ale zapewne będzie to robić wskazana stronka WWW.

Jak widać w liście znajduje się link w tekście PKO Bank Polski online Account, co ma sugerować, że przekierowuje na stronę banku. Niepokój powinien wzbudzić już sam język angielski występujący w tym tekście (bo niby skąd on się wziął ??).

Faktycznie phishing polega na tym, aby nieświadomy użytkownik internetu klikał w linki i otwierał specjalnie spreparowane strony WWW, które mają wygląd niezwykle podobny do prawdziwych stron instytucji finansowych itp. Następnie użytkownik myśli, że jest na stronie np. swojego banku i przy normalnej pracy podaje swoje dane, np. wpisując swój login i hasło (ew. numer konta). Jednak dane te nie trafiają na serwer banku, lecz są zapisywane przez przestępcę, który otrzymuje niezbędne dane do przejęcia tożsamości (czyli tzw. defraudacja tożsamości).

W tym wypadku link ten faktycznie wskazuje na adres:
    http://68.169.42.183/pkobp.pl/index.html
Adres ten nie powinien się otwierać w nowoczesnych przeglądarkach internetowych, ponieważ powinien zostać odrzucony przez filtr antyphishingowy. Należy zwrócić uwagę, że adres ten dla zmylenia posiada w sobie człon nieco podobny do prawdziwego adresu czyli pkobp.pl, co oczywiście nie ma tu żadnego znaczenia.
Warto przy tej okazji sobie prześledzić z jakich elementów składa się prawidłowy adres URL oraz system nazw domenowych (DNS).

Po wejściu na taką stronkę WWW, cyberprzestępca najczęściej prosi nas o podanie dalszych danych (kart kredytowych, haseł jednorazowych itp.), które rzekomo mają umożliwić dostęp do konta itp. Faktycznie jednak są jedynie wyłudzaniem poufnych informacji osobistych od nieświadomego internauty (była o tym mowa np. w newsie pt. Jak hakerzy czatują na bankowe konta (TVN24)).

Dodatkowo specjalnie spreparowane strony internetowe mogą przeprowadzać dalsze ataki na komputer użytkownika, który daną stronę otworzył (mogą to być inne formy ataku, np. instalacja Rootkit, trojana itp.). Dlatego, czytamy w Wikipedii:
    Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. (...)


Opisane tu techniki ataku, należą do wyrafinowanych metod agresji opartych o inżynierię społeczną (Wikipedia). W mojej ocenie sam pomysł jest niezwykle niebezpieczny, gdyż ludzki umysł nie jest odporny na podobne techniki wprowadzania w błąd (trzeba być po prostu dobrze wyedukowanym oraz niezwykle czujnym). Z teoretycznego punktu widzenia nie ma skutecznej metody przeciwdziałania takim atakom. Przykładowo choćby najlepszy ekspert od bezpieczeństwa może dać się nabrać na odpowiednio wyrafinowany atak tego typu.

Na szczęście dziś metody ataku, są bardzo prymitywne (nastawione na początkujących internautów), wystarczy spojrzeć na jakość języka w treści tego listu, czasami naprawdę trudno zrozumieć jego treść (oraz widoczne znaki "?"). Jednak w przyszłości należy się spodziewać, znacznie bardziej zaawansowanych ataków phishingowych.


Update:
Spam (oraz Phishingowe informacje) wysyłane są z tzw. komputerów zombie (Wikipedia), wcześniej wspominałem o tym zagadnieniu w postach:
    - 1,9 miliona komputerów zombie ?
    - Zombie oraz enigmatyczne miesiące ;)

Update:
Ostatnio na TVN24 była mowa o innym przypadku oszukiwania internautów: Uwaga! Nowy typ oszusta internetowego.
Natomiast w tym miejscu pisałem o zupełnej bezradności na tego typu zagrożenia ze strony serwisu Allegro.
Autor: o
Etykiety: , , , , , ,

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)

Jeśli nie jest zaznaczone inaczej (lub nie jest zaznaczone wcale) zamieszczone ilustracje pochodzą z Wikimedia Commons lub są mojego autorstwa.


Ta strona używa cookies oraz innych technologii Google (i innych firm w specjalnych dodatkach po prawej stronie) w celu prawidłowego działania tej stronki (jej elementów jak np. ankiety, reklamy itp.) oraz zbierania statystyk. Korzystanie z tego bloga powoduje zapisywanie typowych plików na Twoje urządzenie (np. komputer, tablet itp.) o ile w ustawieniach przeglądarki nie zmienisz tego.

W UE się ludziom w głowach przewraca, więc dla świętego spokoju zamieściłem to absurdalne ostrzeżenie...