Už jsme viděli antiviry, které byly ve skutečnosti viry a různé trojské koně. Právě nám do redakční schránky dorazil další veselý pokus o varování, který je ale sám o sobě zřejmě útokem.
Právě nám na mail redakce@root.cz dorazil následující mail:
Od: Ceska sporitelna <csas@servis24.cz>
Komu: redakce@root.cz
Predmet: Varovani pred novou verzi podvodnych e-mailu
Vazeni klienti,
radi bychom Vas upozornili na novou verzi podvodneho e-mailu
(tzv. phishingu). Nova verze e-mailu ma jako ty predesle vzbudit
dojem, ze byla odeslana z e-mailove adresy Ceske sporitelny,
tentokrat vsak z oficialni e-mailove adresy banky csas@csas.cz.
Obsahuje odkaz v tele na udajne webove stranky internetoveho
bankovnictvi banky a uzivatel je vyzvan k prihlaseni, tedy
zadani osobnich bankovnich udaju.
Prosim, verifikujte tuto emailovou adresu kliknutim na spojeni nize:
http://221.133.24.68:90/www1.servis24.cz/ebanking-s24/dispatcher.php?aid=19101203〈=cs
Verifikovaci spojeni je platne do 24 hodin.
Zřejmě se jedná o další pokus napadnout uživatele bankovního systému České spočitelny. Tentokrát se ovšem zdá, že je vše napsáno správnou češtinou a neznalý uživatel by se skutečně mohl nachytat.
IP adresa v odkazu reaguje na ping, ale stroj je zřejmě velmi zatížen a žádný web nepodává. Předpokládám, že na něm ale bude falešná titulní strana ebankovnictví ČS.
Nechtěl bych být v kůži lidí ze Spořitelny. Nám stačí pár spammerů v diskusích na Lupě a jsme z toho nešťastní. Co teprve mají říkat oni.
pan Thong Ton Minh asi nebude zaměstnancem spořitelny
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 221.133.0.0 - 221.133.31.255
netname: SPT-VNNIC-VN
country: VN
descr: Saigon Postel Corporation
descr: 45, Le Duan st., 1 district, Ho Chi Minh city, Vietnam
admin-c: TTM11-AP
tech-c: NTKD1-AP
status: ALLOCATED PORTABLE
changed: hm-changed@vnnic.net.vn 20070315
mnt-by: MAINT-VN-VNNIC
mnt-routes: MAINT-VN-SPT
source: APNIC
person: Thong Ton Minh
nic-hdl: TTM11-AP
e-mail: mthong@saigonpostel.com.vn
address: Sai Gon Postel
address: 45, Le Duan street, 1 district, HCM city
phone: +84-8-4040711
fax-no: +84-8-4040609
country: vn
changed: tkien@vnnic.net.vn 20030710
mnt-by: MAINT-NEW
source: APNIC
person: Nguyen Thi Kim Dan
nic-hdl: NTKD1-AP
e-mail: ipmaster.ipt@spt.vn
address: Sai Gon Post and Telecom
address: 279A Hai Ba Trung str, Dist 3, HCMC
phone: +84-8-4040199
country: VN
changed: hm-changed@vnnic.net.vn 20080128
mnt-by: MAINT-VN-SPT
source: APNIC
Dostal jsem to taky, pod "verifikační" adresou byla jiná včetně mojí e-mailové adresy jako parametru, takže to možná sloužilo spíše k ověřování živých emailových adres. Před chvílí mi přišel podobný, kde je ale už pod odkazem: http://209.120.196.47/~jason/security/update/www.servis24.cz/index.php
- asi na tom hoši průběžně makají. A diakritika pořád nic moc.
Dostal jsem i hromadu těch "Dear customer", ale žádný "Drahoušek zákazník", což mě mrzí - to mě nikdo nemá rád česky?
Tahleta uvšem funguje a tváří se docela přesvědčivě :-( ... tedy až na diakritiku.
http://host81-149-81-234.in-addr.btopenworld.com/www.servis24.cz/index.htm
zajimave, mne prisel s touto hlavickou:
Received: from unknown (HELO servis24.wince.cz) (89.122.203.63)
by mail.web4u.cz with SMTP; 12 Mar 2008 10:37:30 -0000
From: Ceska sporitelna <info-csas@servis24.wince.cz>
servis24.wince.cz has address 89.122.203.63
inetnum: 89.120.0.0 - 89.123.255.255
netname: RO-ARTELECOM-20060301
descr: ARtelecom
country: RO
org: ORG-AA45-RIPE
admin-c: AL3618-RIPE
tech-c: AL3618-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: MNT-ARTELECOM-LIR
mnt-routes: MNT-ARTELECOM-LIR
mnt-domains: MNT-ARTELECOM-LIR
source: RIPE # Filtered
organisation: ORG-AA45-RIPE
org-name: ARtelecom
org-type: LIR
descr: Romtelecom Local Internet Registry
address: Garlei 1B sector 1
address: 013721
address: Bucuresti
address: Romania
phone: +40 214004325
phone: +40 214005682
admin-c: CD297-RIPE
admin-c: GPN4-RIPE
admin-c: DC478-RIPE
admin-c: AI134-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: MNT-ARTELECOM-LIR
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
Podivejte se na http://www.csas.cz/banka/content/inet/internet/cs/news_ie_365.xml - uz vite, kde se v e-mailech vzala tak pekna cestina?
Ja nechci byt paranoidni, ale dostal jsem puvodni angl. verzi a pak jsem dostal cesky mail kde na konci se pise ze mam preposlat tento email na phishing@csas.cz .. toto je i na strankach csas, ale ja jim nic posilat rozhodne nebudu, mam pocit ze si mne take zaindexuji jako zivy mail :)
Kazdopadne vse vzdy mazu a ani neotviram a neresim... kdo jim sdeli sve udaje, tak ma smulu.
Podivejte co mi prislo ted: asi novinka
Od: Ceska Sporitelna <tverfv@csas.cz>
Odpovědět-komu: tverfv@csas.cz
Komu: undisclosed-recipients : ;
Předmět: Obnovit se Ted tvuj SERVIS 24 Internetbanking Survey ID: KOMWIFGMOQ
Datum: Wed, 12 Mar 2008 14:28:46 +0100 (CET)
Drahouљek Zбkaznнk,
Tato is tvuj funkcionбr oznбmenн dle Ceskб Sporitelna aby clen urcitэ sluћba dбt pozor pod vule bэt deactivated a odstranit kdyby nedoљlo k obnovit se bezprostrednн.
Predeљlэ oznбmenн mнt been poslanэ aћ k clen urcitэ Ћaloba Dotyk pridelil aћ k tato ъcet.
Ackoliv clen urcitэ Bezprostrednн Dotyk , tebe musit obnovit se clen urcitэ sluћba dбt pozor pod ci ono vule bэt deactivated a odstranit.
Obnovit se Ted tvuj SERVIS 24 Internetbanking.
SERVIZ: SERVIS 24 Internetbanking
SKONANI: Leden, 06 2008
Bэt zavбzбn tebe do using SERVIS 24 Internetbanking. My ocenit tvuj obchod a clen urcitэ prнleћitost aћ k slouћit tebe.
Ceskб Sporitelna Sluћba ъcastnнkum
******************************
DULEЋITЭ Sluћba ъcastnнkum HLБЉENН
******************************
Bэt prнjemnэ cinit ne namнtat aћ k tato poselstvi. Do jakэkoliv bбdat , dotyk Sluћba ъcastnнkum
© Ceskб Sporitelna.
Vљechna prбva vyhrazena.
UBNCYPWXMBOEBWFWTZSHJUPGWFWVPIHNPLGSCK
-----
tak to je sila panove co?? Hlavne Drahousek zakaznik!
Teda.. já se v phishingových praktikách nevyznám, ale servery na které odkazují dotyčné e-maily budou stejně zombienet, ne? Zajímavá je poslední řádka z nmap (kráceno):
Interesting ports on kcechaa.org (65.108.162.100):
Not shown: 1669 open|filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.2.9
22/tcp open tcpwrapped
80/tcp open http Apache httpd 1.3.35 ((Unix) ApacheJServ/1.1.2 PHP/4.4.4 FrontPage/5.0.2.2635 Rewrit/1.1a)
110/tcp open pop3
143/tcp open imap UW imapd 2003.337
443/tcp open http Apache httpd 1.3.35 ((Unix) PHP/4.4.4 Rewrit/1.1a mod_ssl/2.8.25 OpenSSL/0.9.7e)
587/tcp open smtp Sendmail 8.12.11.20060614/8.12.10
808/tcp open ccproxy-http
995/tcp open tcpwrapped
3306/tcp open mysql MySQL 4.0.26-log
9999/tcp open http Apache httpd 1.3.31 ((Unix) mod_ssl/2.8.18 OpenSSL/0.9.7d)
1 service unrecognized despite returning data.
(...)
Device type: general purpose|media device
Running: Linux 2.4.X|2.6.X, Pace embedded
OS details: Linux 2.4.18 - 2.4.27, Linux 2.4.21 (Suse, X86), Linux 2.4.22, Linux 2.4.6 - 2.4.26 or 2.6.9, Linux 2.6.10, Linux 2.6.7, Linux 2.6.8 (Debian), Pace digital cable TV receiver
Uptime 10.452 days (since Sun Mar 2 07:40:48 2008)
Service Info: Host: host26.christianwebhost.com; OS: Unix
Jo tohle sem už taky dostal, a taky nemám s CS nic společnýho.
Jinak ten s "Drahoušek zákazník" tam je kodovaní windows-1252 aby to šlo pěkně s háčkama :)
Musim říct že sem se nad timhle mailem fakt pobavil.
Return-Path: <unknown>
Delivered-To: unknown
Received: from pop3.seznam.cz (77.75.76.46) by robert-note with POP3; 06 Mar
2008 10:01:04 -0000
Reply-To: =?us-ascii?Q?Ceska=20Sporitelna?= <bankinginfo@csas.cz>
Received: (qmail 14077 invoked by uid 0); 6 Mar 2008 03:46:37 -0000
X-Spam-Checker-Version: szn-spamassassin 2007-08-08
X-Spam-Status: score=2.3
Received: from flpi185.prodigy.net ([207.115.20.187])
by email-mx4.go.seznam.cz (Seznam SMTPD 1.0.32@12660) with ESMTP;
Thu, 06 Mar 2008 04:46:36 +0100 (CET)
X-Orbl: [64.167.25.225]
Received: from User (adsl-64-167-25-225.dsl.lsan03.pacbell.net [64.167.25.225])
by flpi185.prodigy.net (8.13.8 out.dk.spool/8.13.8) with SMTP id m25Catew029264;
Wed, 5 Mar 2008 04:36:55 -0800
Message-Id: <200803051236.m25Catew029264@flpi185.prodigy.net>
From: =?us-ascii?Q?Ceska=20Sporitelna?= <bankinginfo@csas.cz>
Subject: =?us-ascii?Q?Obnovit=20se=20Ted=20tvuj=20SERVIS=2024=20Internetbanking=20Survey=20ID=3A=20HPOSYDCDIV?=
Date: Wed, 05 Mar 2008 13:36:58 +0100 (CET)
Mime-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-Msmail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-Mimeole: Produced By Microsoft MimeOLE V6.00.2800.1081
X-Smtpd: 1.0.32@12660
X-Nod32result: clean (vdv=2887)
Tak mě zatím takovýchto emailů přišlo 7 od spořitelny a jeden od PayPalu, škoda jenom, že ten odkaz na podvržený paypal nefungoval.
Jinak oni už si dali i práci s tím, aby jim to nezbaštilo jakékoliv číslo karty, zabudovali kontrolní mechanismus platnosti čísla karty, takže už to jenom tak nějaké nebere. Ale ostatní je možné zvolit jakkoliv (třeba datum konce platnosti 14/2038 nebo 02/1836 :-) )
v první verzi, která se mi dostala do ruky totiž číslo karty kontrolovalo na podmínku, aby někdo nezadal samé nuly.
to SGABA:
No nevim, takova mama nebo hi-tech babicka - to mam docela strach a vsechny sem je pro jistotu upozornil. Nekteri starsi lide jsou bohuzel zvykli z predchozich dob jaksi delat co se jim rekne.
Fakt miluju tyhle typky, pro ktery je debil kazdy, ktery nerozumi tomu co vi oni, vzdyt je to tak jasnyyyyyy ze ????
Jen pro srandu jsem na to kliknul a HLE, Firefox vyhodil hlášku, že stránka je reportovaná jako podvod! Nevím, jestli něco takového funguje i v IE, ale myslím si, že to je geniální věc. Najde se obrovské množství lidí, kteří z toho nemají rozum, na odkazy kliknou a někomu pak odešlou svoje heslo/pin. Když se jim ale po kliknutí celá stránka zatemní a vyskočí takovéhle varování, přinejmenším si tam cokoli zadávat rozmyslí.
Normálně na phisingové aj. stránky nelezu, takže jsem to viděl poprvé. Musím říct, že FF je po bezpečnostní stránce dost promyšlený. Nejen z hlediska klasické security, ale brání lidi i proti takovýmto a podobným (např. http://fake.url@real.url) útokům.
Viz screenshot: http://imageupload.com/out.php/i84917_cs.png
Zdravím, u prohlížeče Opera jsem půl roku neviděl reagující antiphishingové zabezpečení, teď snad každý den varování Opery a také Desktop Google reagují i na jiné podvodné stránky. Na své mail schránky nemám kupodivu žádný tento podvodný email. Používám M2klienta Opery.
Pro zájemce jsem publikoval test a zkušenost tady:
http://niniopera.blogspot.com/2008/03/ochrana-proti-podvodnm-webm-u-opery.html#links
IP: 62.245.84.136:27085
Jmeno Serveru: *LouCZka~TeAm* PuB -2-
WEB : www.louczka-team.xf.cz
DOBREJ SERVER - DOPORUCUJU
Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. GNU/Linuxem a Unixem obecně se zabývá již více než deset let a věnuje se především jeho nasazení v počítačových sítích a bezpečnostní politice. Zde bloguje o Root.cz, Linuxu, internetu a světě kolem sebe.
Přečteno 110 041×
Přečteno 89 042×
Přečteno 72 329×
Přečteno 57 776×
Přečteno 54 149×