2009. május 15., péntek

Ormótlan phishing az MKB ellen

Ma reggel érkezett a postaládába az alábbi gyöngyszem: nem másról van szó, mint ormótlan és eléggé ügyetlen phishing-támadásról.
Tárgy: Biztonsбgi intйzkedйsek
Dátum: Fri, 15 May 2009 12:13:36 +0400
Feladó: MKB Bank
Címzett: undisclosed-recipients:;

Kedves MKB ugyfel ,

Biztonsagi okokbol is felfuggesztettek a fiokjat, egy biztonsagi
intezkedes, amelynek celja, hogy megvedjuk Ont es szamla.
Meg kell ujra az adatokat a folyo fizetesi merleg visszaallitja a
mukodeset a fiokjat, es megerositi, hogy meg nem volt az aldozatok
szamitogepes lopas.
Meg kell ujra adja meg az adatokat a kovetkezo oldalon, hogy az
ellenorzesi folyamat soran:

https://www2.mkbnetbankar.hu/login.jsp?lang=HU&start=true (az eredeti levélben a link ide mutat:http://vl11s26.smart-servers.de/www1.mkbnetbankar.hu/login/mkbnetbankar )


Koszonjuk szives egyuttmukodeset.

© MKB Bank Zrt. Impresszum | Adatvedelmi iranyelvek | Jogi nyilatkozat
Mi szúrhat gyanút?
  • A levél khm... meglehetősen érdekes akcentusú magyarsággal íródott.
  • A fejlécben ciril karakterek olvashatók.
  • Linket kapunk a levélben, amelyre kattintva "beléphetünk", azazhogy megadhatjuk adatainkat.
  • A link valójában nem az MKB netbankjára mutat, hanem egy németországi tárhelyszolgáltató kezelésében lévő oldalra. Nem is igazán törődtek a levél küldői azzal, hogy hihetőre maszkírozzák különféle html-javascript varázslásokkal a linket, emiatt könnyen kiszúrható, hogy ez a link bizony nem az MKB oldalára mutat.
  • Nagyon sürgős és nyomós, ám közelebbről nem meghatározott okot ír a levél arra vonatkozóan, hogy miért is kéne megadnunk az adatainkat a jelzett oldalon.
  • Ha rákattintunk az oldal linkjére, karácsonyfára való piros figyelmeztetés jelenik meg a böngészőnkben, jelezvén, hogy itt bizony "reported phishing site" felé próbálunk adatot küldeni. Komolyan meg kell küzdeni, hogy ha meg akarjuk nézni az oldalt.
Vizsgálódjunk tovább. Ha megnézzük az e-mail borítékját, az alábbiakat látjuk:
Return-Path:
X-Original-To: a.szerzo.cime@akarmi.hu
Delivered-To: a.szerzo.cime@akarmi.hu
Received: from Ontario.extremetool.com (ontario.extremetool.com
[12.18.13.250])
by szerver.hu (Postfix) with ESMTP id 374D2740B9
for <a.szerzo.cime@akarmi.hu>; Fri, 15 May 2009 10:13:26 +0200 (CEST)
Received: from User ([87.245.151.42]) by Ontario.extremetool.com with
Microsoft SMTPSVC(6.0.3790.3959);
Fri, 15 May 2009 03:14:17 -0500
From: "MKB Bank"
Subject: Biztonsбgi intйzkedйsek
Date: Fri, 15 May 2009 12:13:36 +0400
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID:
X-OriginalArrivalTime: 15 May 2009 08:14:17.0484 (UTC)
FILETIME=[243EACC0:01C9D535]
To: undisclosed-recipients:;
Az e-mail fejlécében szereplő Received: mezők alapján követhető vissza az, hogy a levél milyen SMTP-szervereken ment keresztül, mire a postaládába érkezett. Minden SMTP-szerver belefűzi a saját aláírását a levél fejlécébe, de akár törölhet is belőle, avagy tetszőlegesen megváltoztathatja az addigi bejegyzéseket. Leginkább a spamszűrők kicselezésére szoktak játszani ezzel a módszerrel (legalábbis egyes spamtesztek megnézik az SMTP-lánc bejegyzéseit, és ha gyanús elemet találnak, magas valószínűséggel kezelik spamként a levelet). A fejléc alapján a levél valódi feladója a 87.245.151.42 IP-címről küldte a levelet, ez pedig a whois adatbázisa szerint a NetKlab Servis nevű orosz cég hálózatához tartozik - valószínűleg igazat mondhat a fejléc, ugyanis a levél encodingja windows-1251 (azaz ciril kódlap) és több ciril karakter is olvasható a subjectben. Ennél pontosabb tippelést pusztán a levél ismeretében nem tudunk tenni.

Az ilyen jellegű phishing támadások nagy része a "hit-and-run" módszert követi, ugyanis az érintett domaineket meglehetősen hamar, néhány óra, maximum egy-két nap alatt felteszik a nemzetközi blacklistekre, és a böngészők temérdek figyelmeztetést küldenek a felhasználónak, akik kattintanak a felajánlott linkekre.

Ami a felhasználói oldalt illeti, nagyon egyszerű a szabály: a bankok soha, semmilyen körülmények között nem kérik e-mailen keresztül, hogy adjunk meg netbankos/telebankos ügyfélazonosító adatokat.

UPDATE: phishinggel kapcsolatos jogi szakvélemény itt olvasható:
http://www.drdudas.hu/ithirek/mkblevel

Nincsenek megjegyzések:

Megjegyzés küldése

Kommentek