Реальная история, логотипы и реквизиты Банка стерты по различным соображениям. Фишинг или Fishing какой смысл писать о нем при наличии Википедии — свободной энциклопедии, а так же трубящих гуглов, яндексов и фоксов? Во первых навеяло. Во вторых напомнить себе и читателям о том, что нежелательная электронная почта не только отнимает время, как минимум на ее удаление, но еще и риск получить свежий "не убиваемый" вирус и массу проблем. Кроме того в прошлом году на моих глазах две площадки, два интернет проекта взламывались злоумышленниками каждый квартал для размещения вредоносного кода. Так или иначе все началось с получения не желательной почты:
Электронная почта с уведомлением побуждающим к действию.
Как интересно. Банк, домен первого уровня, и сообщение о том, что Вы получили почти Джек-Пот! Какое интересное письмо. Смотрел на это сообщение несколько минут. Проверил почтовый домен, такого не существует. Естественно это просто фантазия автора и рассылка спам-ботом, сервисом, или каким то самописным скриптом или ПО. В общем письмо замаскировано под сообщение для клиента Банка, и содержит все признаки и намеки кричащие: Идентифицируй меня как реальное, не фейк-письмо. Изучив ссылку в теле письма, обнаружил в этой длинной ссылке странный домен, не вызывающий никакой ассоциации с банком. Сократив ссылку до первого символа "/" - обнаружел вовсе не Банк.
Ссылка в письме ведет на странный домен
Все стало понятно. Это Фишинг Fishing. Смотрим дальше. Ссылка в письме, проверка на безопасность. Открываем, и видим на этом домене, но страницу с логином и паролем, входом в систему интернет-банкинга. Это уже интересно.
Фишинговая страница WEB Банкинга
Взломан хостинг, размещена страница банка на хостинге стороннего домена. И размещены дополнительные скрипты. При вводе произвольных паролей и логинов, сессия авторизации переходит на страницу банка. В этот момент, скорее всего данные логина и пароля записываются и отправляются скриптом на почтовый адрес злоумышленника.
Оригинальная страница Банка
Ну и что, удаляем письмо и можно забыть. Но стало любопытно, как отреагирует Банк. После отправки репорта о вредоносном сайте поисковикам, звонок в Банк. Опытного оператора трудно вывести из состояния равновесия. Но скорее всего дежурный службы безопасности был не готов к звонку из за пределов периметра Банка с информацией о возможной утечке данных логинов и паролей пользователей. Поэтому пришлось несколько минут висеть на парковке в холде. Представляю его реакцию. Непосредственно со службой безопасности контакта не было. Но оператор предпринимал все попытки удержания звонка на линии несколько минут, после этого практически без задержек, сообщение было принято.
Произошла утечка данных или нет, пусть разбираются самостоятельно. Думаю, утверждать об утечке можно с высокой вероятностью, если инсайдер смог обеспечить злоумышленникам утечку почтовых адресов клиентов из базы данных Банка. В этом случае СПАМ-рассылка по электронной почте будет максимально эффективна.
Какие выводы? Удаляем всегда не желательную почту, антивирус и спам-фильтры на максимум. При вводе логинов и паролей, всегда проверять строку браузера, где и на каком сайте, физически вводим логин и пароль. Это минимум что необходимо делать.
Комментарии
Благо почта была привязана на телефон, то я восстановил пароль.
Спасибо за статью
а я однажды попался... не заметил в домене изменения всего в 1 букву... повезло что это был не банк, а какая то из соц сетей))) заметил только когда меня после авторизации опять выкинуло на главную страницу, с просьбой авторизоваться...
Жалко того человека, точнее его денег, которые он потратил на хакеров :) Действительно, в лоб джимейл не сломаешь. Если стоит задача взломать джимейл (просмотр почты, мониторинг ее), я бы посоветовал ему авторизоваться к почте через UTM или NGFW, поддерживающие SSL-инспекцию, и джимейл становится прозрачным. :)
Наверное
На телефоне все-таки есть приложения для работы электронными деньгами непосредственно связанные с работой.
Защищайте свой смартфон. Как минимум снизите риски потери/кражи данных. :)
Злоумышленник может получить доступ к учетным данным путем подмены страницы авторизации, как это описано в статье, или у Вас нет никакой защиты на ПК. Проверьте настройки брандмауэра и Ваш антивирус. Может у Вас какой-то троянчик сидит, который пароли ворует? Почистите свой ПК.
Ссылки могут быть удалены.
"Бандитосы" обычно пробираются снаружи. :)
В роли "Шерифа" - внешний фаервол с антивирусом. "Помощник Шерифа" - внутренний (клиентский) антивирус с фаерволом, хипсом и т.д., и, кончено же, с актуальными базами! :)
Массовый вид распространения фишинга - это почтовые рассылки подозрительных ссылок и рассылки этих ссылок через соцсети. Поэтому, поймать "фишинг" через мультимедийные данные невозможно. Через картинки и другие файлы можно поймать разве что трояна (вредоносный код)
Спасибо за статью, теперь будем аккуратнее.
На Ваш вопрос никто не ответит. Не имеем отношение к атакам вообще. Но было расследование СБУ это я знаю точно.
А смысл следующий: пользователь на левом сайте (см. домен на второй картинке) авторизуется со своими учетными данными. Данные сразу попадают в базу к мошенникам. Дальнейший сценарий - пользователя попросят еще и указать секретный код (3 цифры на обратной стороне карты) и все. Можно делать дубликат карты и т.д.... Некоторые пользователи без понимания на автомате открывают свои данные и теряют в последствии свои сбережения. Посмотрите мировую статистику, сколько банки теряют денег ежегодно, в том числе и средства физических лиц. С физ. лицами, в основном, - это происходит по вине самих пользователей с неаккуратным обращением с интернетом....
Реакция 1-2 дня в данной теме не актуальна :)
Ну а плагины в браузере со временем устаревают. Хакеры придумывают новые проги...
in our community. Your site offered us with valuable info to
work on. You've performed an impressive job and our whole
neighborhood might be grateful to you.
RSS лента комментариев этой записи