A mai napon egy rendkívül szerencsétlenül sikerült adathalász támadás érte el at MPP MX domainszűrő rendszert, ahol az Invitel nevében próbálnak meg belépési adatokat kicsalni:

Az automatikusan fordított szöveg, valamint a feladó amit még meghamisítani is lusták voltak gyorsan lebuktatja a levelet, persze csak idő kérdése, hogy mikor sikerül egy hús-vér fordítót találniuk, vagy mikor tudnak legalább egy magyar levelet lemásolni.

A primitív adathalász támadás “különlegessége” egyszerűségében rejlik: évek óta nem találkoztunk már olyan levéllel, amiben közvetlenül kell belépési adatainkat megadni egy űrlap szerű táblázat kitöltésével. Pontosan egyszerűsége miatt lehet az ilyen támadás hatékony: a gyerekbetegségeitől eltekintve nincs benne semmilyen honlapcím, amire az adathalász szűrők figyelhetnek, az emberek pedig évek múltával elfelejtik (vagy sosem tanulták meg), hogy jelszavakat emailben soha nem kérnek el tőlünk.

Ezúttal a CIB Bank került a belépési adatokra vadászó adathalászok figyelmének központjába, az éjszaka (január 4) során több tízezer kísérlet akadt fenn a hazai levelek jelentős részét szűrő MPP MX levelezésbiztonsági rendszer spamszűrőin.

A levelek kivétel nélkül a service@cib.hu címről érkeznek, és új támadás révén az automatikus adathalász szűrőknek még nem volt idejük reagálni rá.

A linkre való kattintást követően az adathalászok a New York melletti Jersey City egyik múzeumának kiszolgálójára vezetnek, ahol a cib.hu honlap bejelentkező oldalának megtévesztő másával várják az áldozatokat:

Az átverésnek ne dőljön be senki – továbbra is a legjobb, ha azonnal töröljük az ilyen leveleket.

Egy botnetről újabb adathalász támadást indítottak az Erste Bank nevében, ezúttal a levél szövege helyett egyetlen képben érkezik a teljes spam. Így próbálkoznak védekezni a bűnözők a szöveget elemző spamszűrők és a domain feketelisták ellen:

A szöveget még nem sikerült ugyan hibátlanra elkészíteni, de a képre helyezett link kétségtelenül alkalmas arra, hogy megkerülje a levelezőkliensek beépített adathalász szűrését, amely akkor figyelmeztet, ha eltérő címre mutat a link mint amit a szöveg tartalmaz.

Egyúttal feltűnhet, hogy a levél most már nem közvetlenül jelszót kér, és nem is jelzi, hogy a Bankunk elfelejtette volna a belépési adatainkat, hiszen erre úton-útfélen mindenki felhívja már a figyelmet: emailben soha nem kér el egyik Bank sem belépési adatot, ez már kezd rögzülni az emberekben. A problémára egyszerű megoldást találtak: akkor Önnek új üzenete érkezett (amely megtekintéséhez szintén ugyanúgy be kell lépni), de közvetlenül senki nem kérdezett rá a belépési adatokra. Kis kreativitással könnyen lehet tovább fokozni a burkolt figyelemfelkeltést: érkezett már figyelmeztetés a PayPal nevében, hogy egy nagy összegű tranzakció sikerült (vagy éppen nem), vagy írtak már adathalászok a Google és Yahoo helyett is, hogy elfogyott a pénz a hirdetési számláról. Ezekre nyilvánvalóan sokan azonnal reagálnak, az átverés így a legkevésbé egyértelmű.

Szerencsére ebben az esetben a nyelvi hibás üzenet, mint oly sokszor máskor is, sokat elárul, de arra nem számíthatunk, hogy a jövőben ne találnának egy magyarul tudó ismerőst.

A hivatkozott oldalt megnyitva különféle adatok bevitelére kér minket az Erste Bank lemásolt honlapja:

A figyelmes adathalászok a még kételkedők meggyőzése érdekében rögtön egy feltűnő, piros keretes figyelmeztetéssel hívják fel arra a figyelmet, hogy a Bank soha nem kér el belépési adatot elektronikus levélben. Most sem tették, hiszen csak egy “1 új üzenet éber”. A belépést követően kétféle módon léphetünk tovább, vagy további adatokat, vagy PIN kódot kérnek az adathalászok:

A 2-3 oldalig tartó affér végeztével pedig eljutunk az Erste Bank normál honlapjára, mintha mi sem történt volna.

Ez a példa is remekül szemlélteti, hogy a bűnözők mindig megtalálják a módát, hogy minél több embert átverhessenek. Hiába tanulja meg mindenki, hogy emailben soha nem kér el a Bank jelszót, hiszen akkor az adathalászok sem fognak: 1-1 ötletes figyelmeztetéssel még könnyebben lehet újabb és újabb áldozatokat gyűjteni.

A legújabb, észak-amerikai és brazíliai botnetekről terjedő adathalász támadás az OTP Bank honlapját veszi célba, és általában a service@otp.hu feladóval érkezik. A levelek ráadásul eltérő honlapcímeket tartalmaznak, vagyis nem egy központi kiszolgálóra irányítják az áldozatot, hanem a botnetben résztvevő számítógépek ezrei szolgálják ki a hamis honlapokat. Így nincsen egy konkrét, feketelistára helyezhető cím, ami jelentősen megnehezíti a böngészők és a biztonsági szoftverek adathalász védelmének dolgát.

A levél néha hibás karakterkódolással érkezik, attól függően, hogy a helyben elérhető betűtípus Unicode, vagy csak a közép-kelet-európai karaktereket tartalmazza:

A levelet ugyanakkor továbbra is számítógéppel fordították, de a linket is tartalmazó “Kattintson ide, és végezze el a lépéseket, hogy eltávolítsa korlátozásokat” mondat már szinte hibátlanra sikerült (az ezen a számítógépen jelentkező kódolási problémától eltekintve). Megtévesztő, ha csak kapkod és siet az ember.

A linkre kattintva megnyílik az OTP lemásolt honlapja, ahol valamilyen rejtélyes megfontolásból az adathalászok a Kártyaszámra és ATM PIN kódra kiváncsiak:

Az adathalászok a továbblépéssel már nem foglalkoznak, vagy valamilyen hiba miatt nem működik – pedig ha visszaküldenék a felhasználót az OTP valódi honlapjára, kevesebben jönnének rá, hogy itt valami nem stimmel.

Megkockáztatom, hogy nem érheti komoly kár azokat, akik bedőltek ennek a támadásnak, hiszen egy kártyaszám és egy PIN kód birtokában még a lejárati dátumot, a hátoldalon elhelyezett biztonsági kódot, a kártyatulajdonos nevét is meg kell tippelnie egy bűnözőnek, ami nagyon jó eséllyel többszöri riasztásként fog megjelenni az OTP csalásellenes rendszerében.

Ha lehet hinni a honlapcímnek, az adathalászok a saját webszerver mellett egy saját PHP futtatókörnyezetet is alkalmaznak a botneteken, ami segít a különféle hamisított oldalak egyszerű összeállításában. A fertőzött számítógépek tehát először emaileket (spamet) küldenek, majd webszerverként üzemelnek a levélben szereplő linkek kiszolgálására, végül az átvert látogatóktól begyűjtött adatokat eljuttatják megbízóiknak. Eközben pedig ahogy az adathalász honlapokat, úgy minden bizonnyal a botokon futó kártevőket is automatikusan frissítik – bármilyen célra ingyenesen és illegálisan kihasználva a fertőzött számítógép minden erőforrását.

Ismét egy szép adathalász levél tűnt fel az interneten: az Erste Bank nevében küldött e-mail szerint a Netbank felhasználónak üzenete érkezett, ezért lépjen be, amihez egy linket is csatol a levél, ám az nem a bank, hanem egy kruskopf.de kezdetű címre irányítja a belépni vágyót.

Néhány böngésző szerencsére már figyelmezteti a gyanútlan felhasználót, hogy feltehetően adathalász oldalról van szó, ugyanakkor a legnépszerűbb böngésző, az Internet Explorer adathalász szűrője még nem ismeri. A levélnek pár szépséghibája akadt ugyan: a levél szövege továbbra is automatikusan fordított, ezért rendkívül magyartalannak tűnik, valamint a karakterkódolást sem sikerült eltalálni; így félig cirill, félig latin betűkkel íródott. Ugyanakkor a feladónál egy nagyon is hihető, netbank@erstebank.hu név szerepel.

A linkre kattintást követően megnyíló weboldal több mint alkalmas megtévesztésre, egyedül az tűnhet fel, hogy a jelszót a szokásos kódolt mező helyett olvasható formában kérdezi meg:

A “bejelentkezést” követően folytatódik az információgyűjtés, a következő oldal minden olyan adatra rákérdez, amivel az adathalászok jó esélyekkel rendelkezhetnek bankszámlánk felett:

A procedúra végeztével pedig automatikusan továbbléphetünk az Erste Bank valódi honlapjára, míg az adathalászok biztosan naplózták megadott adatainkat.

Akármennyi szépséghibája is van, a levél és a honlap akkor is rendkívül alkalmas megtévesztésre, főleg egy tapasztalatlan felhasználó esetében, aki nem mozog otthonosan az Erste netbankjában. Egy biztos: emailben és interneten soha nem fogja Bankunk az “elfelejtett” adatainkat tőlünk elkérni, ezt észben tartva könnyedén törölhetjük a jövőben is a hasonló próbálkozásokat.

A mai nap során külföldi, feltehetően orosz bűnszövetkezetekhez tartozó adathalászok óriási számban küldtek ki az MKB Bank nevében adathalász leveleket. Az orosz, török és ciprusi kiszolgálókról is érkező levelek az alábbi mintához hasonlóan néznek ki, láthatóan automatikusan fordított, ékezetek nélküli szöveget tartalmaznak:

A levélben látható linkre kattintó ügyfelek egy valójában teljesen más, mindössze IP címmel azonosított kiszolgáló honlapjára kerültek, ahol az MKB Bank NetBankár lemásolt felülete fogadta őket:

Az átvert ügyfelek sajnos így könnyen megadhatták valódi belépési adataikat, amelyekkel később a csalók könnyen visszaélhetnek.

Feltehetően a levél hitelességének növelésére a csalók egy eredeti MKB Bank logót is csatoltak a levélhez, viszont elkövették azt a hibát, hogy ezt az MKB kiszolgálójáról linkelték be. Így Az MKB Bank gyorsan reagálhatott az adathalász levelekre, és pár órával az első levelek rendszerünkbe történő megérkezését követően már le is cserélte a levélben látható képet az alábbi figyelmeztetésre:

Az így megnyíló adathalász levelek a cikk írásakor már gyakorlatilag veszélytelenek. Ugyanakkor a hasonló támadások továbbra is nagyon veszélyesek maradnak, főleg ha a csalók nem követnek el hasonló banális hibákat, valamint pár perccel több időt szánnak a levél magyaros megfogalmazására.

Ugyan létezik már több különböző technológia a hasonló levelek ellehetetlenítésére, de a magyar bankok közül mégis kevesen élnek velük. Például az MPP és Sunbelt mindegyik levelezésbiztonsági termékében évek óta sikeresen alkalmazott Sender Policy Framework (SPF) technológia most is rögtön lebuktatta volna a csalókat, hiszen az adathalász leveleket az info@mkb.hu email címről küldték ki, amit az MKB például a pár perc alatt beállítható SPF segítségével jelentős részben megakadályozhatott volna.

- internetes videókkal kampányol a Kereskedelmi Bizottság az USA-ban -

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 áprilisában is megjelentette toplistáját a márciusban legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Eltérített Internet Explorer

Új károkozó jelent meg a biztonsági fenyegetést jelentő károkozók toplistáján: a CWS.DesktopHijack és gyakorlatilag átveszi az uralmat az Internet Explorer felett. A károkozó átírja a kezdőlap beállításait, saját keresőt installál a böngészőhöz és időről időre hamis biztonsági szoftverekről szóló reklámokat jelenít meg. A káros alkalmazás a toplista hetedik helyén landolt, így megelőzte két „régi motorosnak” számító társát, a Clickspring és a Command Service elnevezésű reklámprogramokat, de még a múlt hónapba megjelent trójait, a Trojan.i-n-t-e-r-n-e-t-et is.

A bejegyzés tovább tart! Folytatás… »

Az ICANN jelentős lépésre szánta el magát: végre vége az ingyenes, 5 napos domain regisztrációknak.

Az internet alapvető működéséért felelős non-profit szervezet, a domain nevek kiosztását felügyelő ICANN végre bezárta azt a kiskaput, amivel 5 napig ingyenesen lehetett egy domain nevet használni – úgymond “kipróbálni”.

Ez a lépés azért jelentős, mert a bűnözők minden nap tízezerszám regisztrálták az új domaineket, hogy újabb és újabb címeket használhassanak a károkozók terjesztésére, vagy éppen spamek küldésére. Egy új domain ingyenes regisztrációjával létrehozható egy új, adathalász támadásokhoz vagy károkozók letöltéséhez ideális hamisított honlap, illetve több ezer új email cím, amelyekről a kiküldött spamek hitelesebbnek tűnhetnek (hiszen a feladó címe nem teljesen véletlenszerű, mert a domain visszaellenőrizhető és már létezik).

Az 5 napos domain-kipróbálási lehetőség kihasználására több biztonsági cég is figyelmeztetett; olyan statisztikák is készültek, amikből látható volt, hogy az internetről letöltött károkozók több, mint 90%-a 5 napnál nem régebbi honlapokról tölthető le. A Google pár héttel ezelőtt vélgülis a hirdetési rendszeréből kitiltotta az olyan reklámokat, amelyek 5 napnál nem régebbi oldalra mutattak, ezzel is próbálva elejét venni a bűnözők tevékenységének készpénzre váltását.

Úgy tűnik, erre most már nem lesz szükség, mert az ICANN döntése alapján minden egyes beregisztrált domain után évente 20 centet kell leszurkolni – ezzel minden bizonnyal megszűnik az ipari méretű visszaélés az 5 napos regisztrációkkal.

Sajnos nekünk, a felhasználók számára ez nem jelenti azt, hogy megtizedelődik az interneten leselkedő károkozók száma, vagy hogy végre mérséklődik a spam és az adathalászat problémája. Viszont egy eszközzel biztosan kevesebb van már a bűnözők kezében, és így teljesen új értelmet nyernek az olyan szűrőmotorok, mint a Ninja és MPP részét is képező SURBL, ami a spameket a bennük található weblapcím alapján azonosítja. Mivel sokkal kevesebb címre kell ezentúl odafigyelni, így reméljük egy fokkal egyszerűbb lesz a spamszűrés is.

a rosszindulatú támadások, adathalász akciók és spamkitörések professzionális tervezését és kivitelezését figyelhettük meg az idén

Az eredetinek kinéző hamisítvány a legjobb üzlet. Úgy látszik, erre az internetes bűnözők is rájöttek, hiszen az idén minden eddiginél tökéletesebb ál-honlapok és valódinak tűnő e-mailek révén próbálták az adathalászok megszerezni személyes, banki adatainkat, illetve vásárlásra bírni bennüket, átlagos felhasználókat.

“A bűnözők a profi üzletemberekhez hasonlóan a marketing eszközeivel támogatják, propagálják tevékenységüket – természetesen saját, külön bejáratú csatornáikon keresztül.” – mondja Tom Liston az SANS Internet Storm Center képviselője.

Minél többen tudnak majd arról, hogy spamek segítségével a szó szoros értelmében fillérekért lehet elérni a fogyasztókat – egy több millió e-mailt kiküldő számítógépes zombi hálózat, vagyis egy botnet már 100 dollárért is bérelhető, tehát feleslegesnek tűnik többezer dollárért hirdetni – annál többen fognak élni is a lehetőséggel.

A bejegyzés tovább tart! Folytatás… »

2 évvel ezelőtt Bill Gates, a Microsoft alapító-tulajdonosa a spamről azt jósolta, hogy 2006-ra végleg el fog tűnni. Év elején még akár be is válhatott volna a jóslata, hiszen akkor még csökkent a spamek száma, de 2006 végére a spam soha nem látott mértékben tért vissza.

Felhasználóink visszajelzései alapján a spamek arányát 70-90% közöttire tehetjük, a CNN decemberi híre alapján pedig 10 levélből 9 kéretlen szemét. A végülis jelentős növekedés mögött ezévben két fontos tényező állt: a botnetek növekedése, és a képben küldött spam elterjedése.

A bejegyzés tovább tart! Folytatás… »

Az MPP Desktop spamszűrő mindegyik adathalász támadás ellen védett. Az elmúlt napok Raiffeisen Bank, Erste Bank, Szigetvári Takarékszövetkezet és OTP Bank nevében kiküldött adathalász levelei ellen az MPP Desktop spamszűrő hibátlan védelmet nyújtott, és mindegyik adathalász kísérletet kiszűrte a felhasználók postafiókjaiból.

Magyarországot eddig többé-kevésbé elkerülték az adathalász támadások, és az angol nyelvű levelek eddig nem bizonyultak megtévesztőnek a felhasználók többsége számára. A magyar nyelvű adathalász támadások számának hirtelen megugrásával viszont a felhasználóknak egy újabb, minden korábbi kéretlen levélnél veszélyesebb fenyegetéssel kell szembenézniük: itt nem csak bosszantó kéretlen reklámlevelekről van szó, hiszen ha sikerül a banki belépési adatainkat csalóknak kiadnunk, komoly anyagi kárral is szembesülhetünk.

A bejegyzés tovább tart! Folytatás… »