A legújabb, észak-amerikai és brazíliai botnetekről terjedő adathalász támadás az OTP Bank honlapját veszi célba, és általában a service@otp.hu feladóval érkezik. A levelek ráadásul eltérő honlapcímeket tartalmaznak, vagyis nem egy központi kiszolgálóra irányítják az áldozatot, hanem a botnetben résztvevő számítógépek ezrei szolgálják ki a hamis honlapokat. Így nincsen egy konkrét, feketelistára helyezhető cím, ami jelentősen megnehezíti a böngészők és a biztonsági szoftverek adathalász védelmének dolgát.

A levél néha hibás karakterkódolással érkezik, attól függően, hogy a helyben elérhető betűtípus Unicode, vagy csak a közép-kelet-európai karaktereket tartalmazza:

A levelet ugyanakkor továbbra is számítógéppel fordították, de a linket is tartalmazó “Kattintson ide, és végezze el a lépéseket, hogy eltávolítsa korlátozásokat” mondat már szinte hibátlanra sikerült (az ezen a számítógépen jelentkező kódolási problémától eltekintve). Megtévesztő, ha csak kapkod és siet az ember.

A linkre kattintva megnyílik az OTP lemásolt honlapja, ahol valamilyen rejtélyes megfontolásból az adathalászok a Kártyaszámra és ATM PIN kódra kiváncsiak:

Az adathalászok a továbblépéssel már nem foglalkoznak, vagy valamilyen hiba miatt nem működik – pedig ha visszaküldenék a felhasználót az OTP valódi honlapjára, kevesebben jönnének rá, hogy itt valami nem stimmel.

Megkockáztatom, hogy nem érheti komoly kár azokat, akik bedőltek ennek a támadásnak, hiszen egy kártyaszám és egy PIN kód birtokában még a lejárati dátumot, a hátoldalon elhelyezett biztonsági kódot, a kártyatulajdonos nevét is meg kell tippelnie egy bűnözőnek, ami nagyon jó eséllyel többszöri riasztásként fog megjelenni az OTP csalásellenes rendszerében.

Ha lehet hinni a honlapcímnek, az adathalászok a saját webszerver mellett egy saját PHP futtatókörnyezetet is alkalmaznak a botneteken, ami segít a különféle hamisított oldalak egyszerű összeállításában. A fertőzött számítógépek tehát először emaileket (spamet) küldenek, majd webszerverként üzemelnek a levélben szereplő linkek kiszolgálására, végül az átvert látogatóktól begyűjtött adatokat eljuttatják megbízóiknak. Eközben pedig ahogy az adathalász honlapokat, úgy minden bizonnyal a botokon futó kártevőket is automatikusan frissítik – bármilyen célra ingyenesen és illegálisan kihasználva a fertőzött számítógép minden erőforrását.

Ez a bejegyzés a(z) Adathalászat, Spam kategóriában készült 2009. október 27. 11:37-kor. A bejegyzés hozzászólásait RSS 2.0 csatornán keresztül is olvashatod. A bejegyzéshez hozzászólhatsz, vagy saját oldaladon hivatkozhatsz (trackback) rá.