V březnu 2008, se Česká spořitelna, stala obětí phishingu. Útok pocházel z rumunské domény Sugas.ro
Phishing
Phishing je podvod, který je realizován v síti internet. Tento podvod spočívá v tom, že útočník, chce získat přihlašovací údaje k internetovému bankovnictví, atp. Útok spočívá v tom, že útočník rozešle podvodné e-mailové zprávy, které údajně odesílá banka oběti. Zpravidla je v tomto e-mailu odkaz, na který má oběť kliknout, a na stránce zadat, do formuláře, přihlašovací údaje k internetovému bankovnictví. Útočník následně předeve peníze na svůj účet, který je zpravidla někde v zahraničí.
Podvodný e-mail:
Takový podvodný e-mail mi přišel na mou e-mailovou adresu, přesto že nejsem nikdy nebyl klientem České spořitelny. Zamýšlím se tedy, kde útočník vzal můj e-mail?! Tento e-mail má pouze moje banka (KB) a jistě i Česká národní banka. Že by došlo k nabourání do systému nějaké banky? Těžko říct…
Rozhodně musím eleminovat možnost, že by se mi někdo naboural do e-mailové schránky! Můj mejl se nachází mimo ČR – je na serverech třetího světa a heslo je extra silné.
Obsah podvodného e-mailu:
Nazev zpravy: INFO plus s elektronickymi vypisy
Datum zadani: 19/03/2008
„Dovolujeme si Vas upozornit, ze vypisy z uctu si nyni muzete generovat elektronicky. Podoba a rozsah informaci na vypise je identicky s tistenou verzi. Vypis v elektronicke podobe Vam vsak poskytne rychlejsi pristup k informacim o realizovanych transakcich v tydennim, mesicnim nebo rocnim prehledu. Navic usetrite penize za postovne. Aktivaci elektronickych vypisu provedete sami ve sluzbe SERVIS 24 Internetbanking v zalozce Nastaveni.
Novinkou je take informacni mesicnik INFO plus pro klienty Ceske sporitelny v elektronicke podobe. Aktualni tipy a novinky z nabidky produktu a sluzeb pro dany mesic si muzete stahnout na internetovych strankach Ceske sporitelny www.servis24.cz nebo pravidelne dostavat primo do sve e-mailove schranky. Staci se jen na www.servis24.cz zaregistrovat do internetoveho Informacniho servisu a budete vzdy vcas upozorneni na vse, co Vas zajima.
© Ceska sporitelna a.s. Vsechna prava vyhrazena. Materialy urcene pro verejnost.“
Zdrojový kód podvodného e-mailu:
From – Thu Mar 20 06:57:15 2008
X-Account-Key: account4
X-UIDL: 233
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Received: from ab8.cs.mozektevidi.cz(ab8.cs.mozektevidi.cz [100.200.300.400]) /server cílohového emailu – vymyšlený, v tomto případě mého/
by ab8.cs.mozektevidi.cz with Mozektevidi.cz LMTP server
id 1095710030-7705958057.72691
Thu, 20 Mar 2008 02:34:11 +0300
Received: from el200.smatrix.com(ipdmeg0074mia.usa.prod.interland.net [69.0.204.104]) /server odesílatele emailu, server smatrix.com/
by ab8.cs.mozektevidi.cz with Mozektevidi.cz Mailer /server cílohového emailu – vymyšlený, v tomto případě admin5@mozektevidi.cz/
id 2906065824-1205969683.127068
envelope-from csas@servis24.cz /fake email „odesílatel“/
Thu, 20 Mar 2008 02:34:43 +0300
X-AS-Feat-ID: 43158170,43162147,43211610,45225540,45225607,45225633,46158423,46158504,46158716
Received: (qmail 18505 invoked from network); 19 Mar 2008 16:59:10 -0400
Received: from h24-207-65-243.dlt.dccnet.com (24.207.65.243) /hostname a IP adresa odesílatele/
by 69.0.204.105 with SMTP; 19 Mar 2008 16:59:09 -0400 /SMTP server – 69.0.204.105 smatrix.com, přes který byl email odeslán/
From: Ceska sporitelna, a.s. <csas@servis24.cz> /fake odesílatel/
To: admin5@mozektevidi.cz /cílový email – můj vymyšlený/
Subject: INFO plus s elektronickymi vypisy /předmět emailu/
Date: 19 Mar 2008 13:59:21 -0700
Message-ID: <20080319135920.281E03CDE783D2AE@servis24.cz>
MIME-Version: 1.0
Content-Type: text/html;
charset=“iso-8859-1″
Content-Transfer-Encoding: quoted-printable
X-SpamTest-Envelope-From: csas@servis24.cz /kontrola spam testu na mojem poštovním klientovi/
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 2429 [Mar 17 2008]
X-SpamTest-Method: none
X-SpamTest-Rate: 0
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: not_detected /konec kontroly spam testu – není to spam/
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0278], KAS30/Release
X-Antivirus: AVG for E-mail 7.5.476 [269.13.39/1045] /moje antiviry/
X-Antivirus: avast! (VPS 080320-0, 20.03.2008), Inbound message
X-Antivirus: NOD32 (s47fr 59626, 19.03.2008)
X-Antivirus-Status: Clean
<P><FONT face=3D“Courier New“ size=3D2>Ceska sporitelna, a.s.</FONT></P> /samotný text emailu/
<P><BR><FONT face=3D“Courier New“ size=3D2>SERVIS 24 <BR>——————-=
————————————————–</FONT></P>
<P><FONT face=3D“Courier New“ size=3D2>Nazev zpravy: INFO plus s=
=20
elektronickymi vypisy<BR>Datum zadani: 19/03/2008<BR>———–=
———————————————————-</FONT></P>
<P><FONT face=3D“Courier New“ size=3D2>dovolujeme si Vas upozornit, ze vypis=
y z uctu si=20
nyni muzete generovat elektronicky. Podoba a rozsah informaci na vypise je=
=20
identicky s
tistenou verzi. Vypis v elektronicke podobe Vam vsak poskytne rychlejsi pris=
tup k informacim o realizovanych transakcich v tydennim,=20
mesicnim nebo rocnim prehledu. Navic
usetrite penize za postovne. Aktivaci elektronickych vypisu provedete sami v=
e sluzbe SERVIS 24 Internetbanking v zalozce=20
Nastaveni.</FONT></P>
<P><FONT face=3D“Courier New“ size=3D2>Novinkou je take informacni mesicnik =
INFO plus pro klienty=20
Ceske sporitelny v elektronicke podobe. Aktualni tipy a novinky z
nabidky produktu a sluzeb pro dany mesic si muzete stahnout na internetovych=
strankach=20
Ceske sporitelny
<a target=3D“_blank“ href=3D“http://mail.sugas.ro/.ssl512/www1.servis24.cz/e=
banking-s24/dispatcher.php?aid=3D19101203&lang=3Dcs“>
www.servis24.cz</a> nebo pravidelne dostavat primo do sve e-mailove schranky=
=2E Staci se jen na=20
<a target=3D“_blank“ href=3D“http://mail.sugas.ro/.ssl512/www1.servis24.cz/e=
banking-s24/dispatcher.php?aid=3D19101203&lang=3Dcs“>
www.servis24.cz</a> zaregistrovat do internetoveho Informacniho servisu
a budete vzdy vcas upozorneni na vse, co Vas zajima.</FONT></P>
<P><FONT face=3D“Courier New“ size=3D2>————————————-=
——————————–</FONT></P>
<P><FONT face=3D“Courier New“ size=3D2>=A9 Ceska sporitelna a.s. Vsechna pra=
va vyhrazena. Materialy urcene pro verejnost.</FONT></P>
=0D=0A=0D=0A
Upozornění Česká spořitelny:
Česká spořitelna vydala takovéto upozornění pro své klienty:
„Upozorňuje na nový typ podvodného e-mailu (tzv. phishingu). V tomto případě jde o velmi důvěryhodnou verzi, kdy pachatelé okopírovali text napsaný bankou jako varování klientům proti phishingu. Nová verze e-mailu má jako ty předešlé vzbudit dojem, že byla odeslána z e-mailové adresy České spořitelny, tentokrát však z oficiální e-mailové adresy banky csas@servis24.cz. Obsahuje odkaz v těle na údajné webové stránky internetového bankovnictví banky a uživatel je vyzván k přihlášení (verifikaci), tedy zadání osobních bankovních údajů a také PINu k platební kartě. Tolik Česká spořitelna. Pokud nevíte co je phishing, tak se v podstatě jedná o prohledávání sítě internet jehož účelem je získat informace o určitých lidech. Poslední dobou se v česku objevují čím dál častěji takováto varování před podvodnými emaily, které útočí na klienty tuzemských bank, a které se od nich snaží vylákat důvěrné informace.“
Upozornění České národní banky
I Česká národní banka, upozorňovala klienty všech tuzemských bank, o phishingu ČS:
„Vazeni klienti,
radi bychom Vas upozornili na novou verzi podvodneho e-mailu (tzv. phishingu). Nova verze e-mailu ma jako ty predesle vzbudit dojem, ze byla odeslana z e-mailove adresy Ceske sporitelny, tentokrat vsak z oficialni e-mailove adresy banky csas @ csas . cz. Obsahuje odkaz v tele na udajne webove stranky internetoveho bankovnictvi banky a uzivatel je vyzvan k prihlaseni, tedy zadani osobnich bankovnich udaju.
Prosim, verifikujte tuto emailovou adresu kliknutim na spojeni nize:
https://www.servis24.cz/ebanking-s24/dispatcher.php?aid=19101203&lang=cs“
Odkud útok pocházel?
Útok na Českou spořitelnu pocházel z Rumunska, z domény Sugas.ro, resp. ze subdomény Mail.sugas.ro. Útočník to měl velice chytře vymyšleno – velmi dobře zná myšlení lidí… Viditelný odkaz byl na www.servis24.cz, ale hypertextový odkaz byl na doménu www.mail.sugas.ro. Myslím, že se tak nachytalo dost lidí…
Whois databáze domény Sugar.ro
domain-name: sugar.ro
description: MobiFon S.A.
description: 3, Nerva Traian Street
description: Complex M101, Sector 3
description: Bucharest, Romania
description: Phone: +40-21-302 2222
description: Fax: +40-21-302 1475
admin-contact: IOS1-ROTLD
technical-contact: IOS1-ROTLD
zone-contact: IOS1-ROTLD
nameserver: ns6.dr.myx.net
nameserver: dnsbck.dr.myx.net
info: Stefan Zincenco
info:
info: cod fiscal / cod numeric personal […]
info: Registered via xnet
info: The NIC for Romania is http://www.rotld.ro/
notify: domain-admin@listserv.rnc.ro
object-maintained-by: ROTLD-MNT
updated: domain-admin@listserv.rnc.ro 20031104
source: ROTLD
application-date: 20031104
domain-status: active
registration-date: 20031104
expire-date: 20081104
role: ISP Support
address: Vodafone Romania S.A
address: Piata Charles de Gaulle nr.15
address: Sector 1, Bucuresti, Romania
phone: +40-21-302 2333
fax-no: +40-21-302 2580
e-mail: ISP.Support_ro@vodafone.com
admin-contact: IOS2-ROTLD
technical-contact: SB42-ROTLD
nic-hdl: IOS1-ROTLD
info: „*** For billing issue, please contact LI23-ROTLD ***“
info: object maintained by ro.rnc local registry
notify: domain-admin@listserv.rnc.ro
object-maintained-by: ROTLD-MNT
updated: cmircea@rnc.ro 20010802
updated: cmircea@rnc.ro 20011031
updated: cmircea@rnc.ro 20011106
updated: imanea@rotld.ro 20071022
source: ROTLD
Závěrem
Myslím, že situace která v roce 2008 nastala, opravdu nemá slov. Především protože se jednalo o několik útoků najednou. Stránka Sugar.ro byla funkční mnoho týdnů. Policie zde byla zcela nečinná. Jedná se snad o internetovou negramost policie? Byl pachatel vůbec někdy vypátrán?
Rada je jediná – váš administrátor, v tomto případě vaše banka, nikdy nebude od vás požadovat žádné přihlašovací údaje!
Screen podvodné stránky
Veškerý obsah, na Mozektevidi.cz, je zakázáno dále šířit (přebírat)! Nepřeji si dále šířit (přebírat) i tento článek! Admin.