Stary dobry atak typu phishing na konta w mBanku

A może zaatakowane osoby (tzn. ich adresy) pochodzą z opisanej już na tych stronach afery z wyciekiem adresów z TP S.A.? To by dopiero była afera!

Mnie zdziwiły wyniki badania przeprowadzonego na Amerykańskiej populacji (próba była dość mała, także same wartości procentowe mało istotne - postaram się później odnaleźć te wyniki). Wynikało z niego, że ponad połowa badanych uznaje adresy www.jakisbank.com, jakisbank.innadomena.cn, innadomena.tk/jakisbank/ za tak samo wiarygodne strony "Jakiegoś banku". Do tego mniej niż połowa uważała, że obecność kłódki w pasku adresu zapewnia 100% bezpieczeństwo (nawet po pojawieniu się informacji o braku podpisu CA i kliknięciu "Tak"), a pozostałe badane osoby (oprócz kilku) nie zauważały kłódki i nie przypisywały jej żadnego znaczenia.

Sprawdziłem czy moi znajomi potrafią czytać URLe i niestety osoby nie związane z branżą IT, ale korzystające z komputera w domu, biurze czy na uczelni, również do zawierania transakcji przez internet, kliknęłyby na link w mailu od ich banku pod warunkiem, że w tle znajduje się jego logo.

Sporo osób stosuje metody weryfikowania autentyczności ze świata fizycznego. Np. biorą pod uwagę skomplikowanie grafik i systemu menu na stronie banku "no bo przecież to jest trudno podrobić". Brakuje podstawowej edukacji o bezpieczeństwie. Zamiast tego każdy potrafi w MS (tm) Word (tm) podzielić tekst na kolumny.

Kilka dni temu dostałem na Gmaila (przeszło przez ich filtr, ale kilka podobnych jednak wylądowało w spamie) informacje z paypal'a o takiej weryfikacji kont. Oczywiście już sam tytuł wydał mi się podejrzany i okazało się, że to właśnie podróba. Ale całkiem ładna w sumie. Chociaż po wejściu na daną stronę wyskoczyło mi ostrzeżenie od FireFoxa (czy w IE coś takiego jest?), że to podejrzana strona i prawdopodobnie chcą mnie oszukać. I może ktoś by się na to nabrał gdyby nie to, że strona wczytywała mi się z 5 minut :D

... sie tak zastanawiam. Zdobycie dostepu do konta w mBanku (czy innym polskim banku) to jedno, a mozliwosc wykonania z niego przelewu to inna sprawa. Sa przeciez listy hasel jednorazowych czy hasla SMSowe (to mBank), tokeny i inne wynalazki. Takze co takiemu phishingowcowi daje dostep do konta? Ze moze wykonac zdefiniowane przelewy? To zwykla zlosliwosc i raczej nikt nie bedzie inwestowal w taka akcje sporych funduszy, zeby komus robic na zlosc (tym sie zajmuja dzieciaki i inne "mini-hakiery"). Dostep do danych i stanu konta? To moze byc akurat przydatne, ale dane osobowe mozna zdobyc w latwiejszy sposob (np pytajac o nie w mailu ;) ). Takze chodziloby o stan konta? Duzo zachodu, jesli to mialby byc cel.

Tak jak, ktoś tu pisał ja też dostałem dwa maile w celu wersyfikacji danych paypal na gmail. Filtr antyspamowy przepuścił te maile. I tak w pierwszej kolejności jak się widzi taki mail to można być pewnym, że to oszustwo. Po drugie adres mailowy coś tam @yahoo.com, czy inna domena. Po trzecie brak podpisu cyfrowego. Poza tym program pocztowy mozilla Thunderbird od razu mi zaznaczył, że może to być oszustwo. Próbowałem otworzyć link w Firefox i Opera, ale w obu przypadkach przeglądarki zachowały się prawidłowo, czyli strona została zablokowana jako próba oszustwa. Czyli nawet przy gapiostwie użytkownik powinien się zorientować, że jest celem oszustwa.

Ale z drugiej strony, jeżeli ponad 50% użytkowników internetu, korzysta nadal z przeglądarki IE 6.xx (nie wspominam już o etapie aktualizacji przegl.) to może takie ataki mają jakąś skuteczność.

A przy okazji filtra antyspamowy gmail (tak chwalony) nie wyłapał w/w wiadomości jako spam, ale jak zapomniałem hasła na prawo.vagla i dostałem maila z linkiem w celu podania nowego hasła, to mail został od razu wrzucony jako spam :-)

Widze ze osoby piszace komentarze nie wiedza za duzo o phishingu. Ja pisze o tym prace mgr :). Jesli wejdzie sie na idelanie podrobiona strone to i kod jednorazowy podasz bedac przekonany ze to strona banku.

Pozatym w takich mailach juz dawno zycza sobie kody jednorazowe wiec moga je wykorzystac do robienia przelewow. Jedynym utrudnieniem sa tokeny bo maja waznosc tylko minute ale i to nie jest problem. Jesli przestepca wyrobi sie w minute (a jest wiele takich przypadkow) to z zawartoscia konta mozna sie porzegnac.

Badania dowiodly ze ludzie odpowiadaja na 5% maili wyslanych w ten sposob a jak wysylaja 1 mln to mozecie sobie policzyc jaka rzesza ludzi moze byc oszukana i jest w tym roku okradli w ten sposob Inteligo (uwazane za jeden z najbezpieczniejszych polskich bankow wg badan)

A co do adresow mailowych mozna je zdobyc w kilka sposobow. Np rozeslac miale z trescia "Wygrales wycieczke do Rzymu wystarczy ze wypelnisz formularz gdzie nalezy wskazac bank z ktorego sie korzysta"

Eksperci twierdza ze obecne systemy zabezpieczen sa kompletnie nieskuteczne przeciwko phishingowi a wykrywalnosc falszywych stron przez najlepsze programy to max 85%. Miesiecznie powstaje taki stron ok 60 tys.