16:47
22/6/2020

Ktoś zakłada strony internetowe wyglądem identyczne, jak strony znanych polskich banków i wykupuje reklamy w Google tak, aby strony te pojawiały się na pierwszym miejscu w wynikach wyszukiwania Google.


Sporo osób wchodzi na serwisy poprzez wpisanie ich nazwy w pasku adresowym (przyzwyczajeni do tego, że przeglądarka przeniesie ich na stronę z wynikami wyszukiwania) i klika odruchowo w pierwszy link wyników wyszukiwania. Jeśli ktoś nie zauważy różnicy w adresie, odda swój login i hasło przestępcy…

…a w kolejnych krokach także inne dane, które pozwolą złodziejom na wyczyszczenie pieniędzy z konta ofiary.

Podobny atak na IDEA Bank

Jeden z pracowników IDEA Banku przesłał nam screena dotyczącego podobnego ataku na ten bank.

Nam co prawda taka reklama się nie pojawiła, a pod ww. stroną jest obecnie reklama:

IOC:
www.secure-bank-getin[.]xyz
getin-secure-bank[.]xyz‎
ideabank-login[.]xyz
secure-getinbank[.]at/login/secure.getinbank.pl/
secure-getin[.]pl/login/secure.getinbank.pl/

78.138.96.3
2a01:7a7:2:27d4:225:90ff:fe51:e396
188.68.220.80

To już było

Pierwsze tego typu ataki opisywaliśmy 3 lata temu, na przykładzie Allegro.

Ten z dziś, dotyczący polskich banków jest poważniejszy i wpaść mogą nie tylko osoby prywatne, ale i pracownicy firm. Dlatego warto zadbać o ich odpowiednie przeszkolenie z tego, czym jest phishing i jak działają współcześni cyberprzestępcy. Zapraszamy do zobaczenia lekcji demo naszego internetowego kursu “Cyberbezpieczeństwo w Firmie“, właśnie o phishingu.

Nasz kurs, to materiał, z którym obowiązkowo powinien zapoznać się każdy pracownik korzystający do wykonywania swoich obowiązków z komputera lub smartfona i internetu — jeśli chcecie uzyskać dostęp do trwającego 3 godziny, konkretnego i bogatego w przykłady prawdziwych ataków na polskie spółki materiału, dajcie nam znać pisząc na adres elearning@niebezpiecznik.p lub wypełniając ten formularz:

    Twoje imię i nazwisko: (wymagane)

    Twój firmowy adres e-mail: (wymagane)

    Twój telefon: (wymagane)

    Ilu pracowników chcesz przeszkolić? (wymagane)

    Czym jesteś zainteresowany? (kurs "Cyberbezpieczeństwo w Firmie" czy któryś z wykładów?)

    Potwierdź, że jesteś z krwi i kości ;-)

    Przeczytaj także:


    Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

    Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

    Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

    27 komentarzy

    Dodaj komentarz
    1. IP pochodzi z niemiec czyżby szwaby się nudzą? trzeba chyba będzie zorganizować nalot bombowy bo nie wyciągneli lekcji zadzierając z PL…

      • Chyba zapomniałeś kto kogo bombardował i nie wyciągnął z tego przykrego faktu nauki. Proponuję powtórkę z historii.

      • Potwierdzam, to sama Merkelowa nasłała hackerów na biednych Polaków!
        Co wy macie w głowach, że w ogóle wam takie komentarze do tych łbów przychodzą…

    2. Aż się wystraszyłem, bo korzystając z banku na komórce sam tak zawsze dotąd robiłem, zakładając, że algorytm wyszukiwania Google powinien zwrócić na pierwszym miejscu oryginalną stronę banku. Oczywiście patrzyłem przy tym na wszelki wypadek na adres, no i zawsze czytam smsy, ale to i tak zaskakujące, że tak łatwo można coś takiego przeprowadzić.
      Jak to jest w ogóle możliwe? Rozumiem, że przestępcy musieli dość sporo zainwestować, żeby tak to wypozycjonować?

      • Taki atak jest przeprowadzony dla takich jak Ty, skoro nie rozróżniasz pozycjonowania od Google Ads.

      • @Łukasz: Gdy idziesz kupić farbę, to oczywiście znasz się na składzie chemicznym, wiązaniach fizycznych cząsteczek pigmentu i takich tam pierdołach? Jeśli nie, to jak chcesz zweryfikować obietnice producentów na opakowaniu?
        A jeśli nie weryfikujesz, bo się nie znasz, to jak możesz się dziwić osobom, które nie są w stanie zweryfikować wyników działania usługi Google Search?

        Swoją drogą Google jest tutaj bardzo winne serwując reklamy wyglądające prawie identycznie, jak wyniki wyszukiwania.

      • Przynajmniej mogę się pocieszyć ciut lepszą znajomością gramatyki od Łukasza :)

        A wracając do meritum, przecież reklamy też podlegają pozycjonowaniu. Co takiego zrobili więc przestępcy, że to ich reklama wyświetla się jako pierwsza, a nie oryginalna reklama banku?

      • @Kenjiro

        Masz rację, że pokazywanie reklam identycznych jak wyniki wyszukiwania jest słabe. Jednak całą reszta tego co mówisz to niestety bełkot. Nie tłumaczmy braku podstawowej wiedzy oraz całkowitej ignorancji jakimiś nieadekwatnymi porównaniami.
        Jak kupuję farbę, to nie wchodzę do sklepu i nie biorę pierwszej, jaką zobaczę na półce. O nazwie “Najlepsza farba !!one.xyz” Bez dokładnego przeczytania ulotki czy wypytania sprzedawcy. Tragedia.

      • @kenjiro twoje porównanie nie jest dobre. Jeżeli ktoś korzysta z Google powinien chociaż trochę wiedzieć jak to dziala. I nie chodzi mi o znajomość algorytmu ale choćby o proste zrozumienie, że jeżeli wpiszesz MOJBANK to nie masz gwarancji że link będzie prowadził do twojego banku.
        To tak jakbyś poszedł kupić farbę do salonu, wybrał pudełeczko bo ma fajny kolor a potem narzekał że ta farba jest beznadziejna bo w ogóle nie działa jak normalna farba (na puszce napisane że do drewna ta farba ale przecież nie każdy musi być takim znawca tematu żeby wiedzieć że istnieje więcej niż jeden rodzaj farb).
        Jak kupisz samochod to nie musisz wiedzieć jak on dziala, nie musisz rozumieć dlaczego olej zapewnia normalna pracę silnika ale warto wiedzieć że jak przyjdzie wymienić olej to nie wystarczy kupić kujawskiego w sklepie.

      • A teraz, kiedy poprawiliście już sobie samopoczucie i dowartościowaliście się należycie, odpowiedzcie proszę na jedno pytanie: czy reklamy nie są również pozycjonowane?
        Pisząc o pozycjonowaniu miałem na myśli reklamę, a nie pozycjonowanie stron Google. Z mojego komentarza to jasno wynika, przynajmniej dla kogoś, kto umie czytać ze zrozumieniem i ma choć odrobinę dobrych intencji, a nie tylko szuka, jakby się tu nad kimś wyżyć w internecie.
        Zresztą nawet zakładając brak podstawowej wiedzy u pytającego i tak należy się jasna, normalna odpowiedź. Naskakiwanie i równanie z błotem kogoś, kto po prostu o coś pyta jest żałosne i świadczy o arogancji.

    3. Postrzelałem domeny zgodnie z podanym wzorcem i namierzyłem jeszcze taką paribas-login(.)xyz. Adres IP taki sam jak podajecie w artykule. Pewnie związane z tą kampanią, ale reklam na frazy banku Paribas nie zauważyłem w Google.

    4. Naprawdę jakieśgłupoty.xyz to literówka?

      Nie twierdzę, że w pośpiechu nie można się pomylić ale to nie jest literówka.

    5. A wystarczyłoby nauczyć ludzi sprawdzać Extended Validiation. Ataki tego typu by się nigdy nie powiodły. Sam zrobiłem z szkolenie współpracownikom i skończyły się pytania o “nowe adresy”. W tej chwili Vivaldi jest ostatnią przeglądarką, która nadal podaje dane z EVC w pasku adresu.

      Firefox wypada najgorzej, wymaga dwóch kliknięć by poznać pełne dane podmiotu, co zresztą nie dziwi, bo bezpieczeństwo użytkowników to coś, co Mozilla ma głęboko. Firefox to jedyna przeglądarka, która pozwala podmienić wpisywany w pasku adresu url za pomocą JS wykonywanych przez stronę. Nadaje się tylko do celów komediowych.

      Buga mają od pół roku zgłoszonego i to olewają.

      • Duże koszty… a ile osób umie to sprawdzić?

      • EV też można podrobić, wystarczy założyć firmę o tej samej nazwie co atakowana instytucja, i wystawca certyfikatów już się nie czepia i wystawia Ci certyfikat.

        EV się nie sprawdziły, nikt na to nie patrzył, dlatego są wycofywane. Też nad tym ubolewam, ale statystyki pokazują, że to właściwy kierunek.

      • W tym wypadku trzeba było sprawdzić adres w pasku przeglądarki a nie EV. EV w tym wypadku to jakbys przed naszymi zakupami w sklepie spożywczym w którym robisz codzienne zakupy wchodził w KRS, regon i prosił sprzedawcę o dokumenty potwierdzające że na pewno jesteś w tym sklepie w którym wydaje ci się, że jesteś.

    6. dobrze że maja mama wchodzi z paska zakładek do getinu

    7. Ja zawsze odruchowo pomijam w google to co jest oznaczone jako reklama

      • A ja nie mam reklam w internecie – taką mam wersje internetu ;)
        Ale znajomym, rodzinie i klientom nie instaluję adBlocków, bo potem mam reklamacje, że nie działa fakt, pudel i onet.

    8. […] był pracowity dzień dla przestępców. Próbowali okraść Polaków podszywając się pod Getin Bank i Idea Bank a potem kusili fałszywymi rabatami na Allegro. Żartowaliśmy sobie w redakcji, że do […]

    9. Pihole – automatycznie zablokowane te linki :)

    10. Ta “sprytność” polega na tym, że ktoś świadomie rezygnuje z własnego bezpieczeństwa i nie dbając o pieniądze wchodzi na strony nie banku, ale zupełnie inne? Zaiste, niewiarygodnie sprytna metoda…

    11. Żeby zabezpieczyć się przed takimi “atakami”, wystarczy tylko, wpisywać (np. korzystając z zakładek) w przeglądarkę adresy portali bankowych, a nie skazywać się na łaskę googla.
      No ale, posługiwanie się przeglądarką internetową, to technika prawie kosmiczna dla dzisiejszych internautów.
      Wszystko co umieją zrobić, to wpisać w gógla cokolwiek i klikać co popadnie.
      Gdyby wyłączyć google, to dzisiejsi internauci, zgłosiliby swoim ISP, że Internet przestał istnieć.

    12. Wina Gugla bo reklama conajmniel lamie zasady prawa handlowego (gdyby ktos postanowil zrobic sobie konkurencyjny bank o tej samej nazwie) a bardziej realistycznie jest oszustwem w ktorym gugle pomaga (z czego czerpie zyski (=dole…))…

      PROTIP: ja piernicze, ludzie, korzystajcie z zakladek…

      Ps. Ciekawostka 1: Gugiel zmienil ostatnio firmowe motto z “don’t be evil” na “do the right thing”
      Ciekawostka 2: “do the right thing” bylo haslem z ktorego hitlerowcy korzystali czasem przy okazji pozbywania sie swoich przeciwnikow xD czyli jesli ktos sie zastanawial jak interpretowac ich motto i nie przepada za hitlerem faszyzmem, to moze to zinterpretowac jako gugiel naklanianiajacy ich do samobojstwa :p

      • Mu tu gadu gady, a w czasie pomiedzy tymi dwoma komentarzami nowy news na necie: przestepcy wykorzystuja google analytics do wykradania danych kart platnicznych xD

    13. Niestety trzeba być bardzo ostrożnym. Oszuści czyhają na każdym roku.

    14. Nie mam tego problemu. Mam Kaspersky`ego i ten ma funkcję “bezpieczne pieniądze”. Od lat mam tam adresy swoich banków. Wyświetlają się one w ramce z zieloną otoczką. Oznacza to, że Kaspersky potwierdza zgodność adresu i strona bankowa jest prawidłowa. Dodatkowo Kaspersky ma swoją klawiaturę, przez którą można się logować. Żaden keylogger tu nic nie wykradnie , gdyż zabezpieczona jest akcja np. w wykrywaniu mikroruchów na klawiaturze. Warto zapłacić 100 zł rocznie i mieć spokój. I pamiętać, żeby zawsze logować się przez “bezpieczne pieniądze”.

    Twój komentarz

    Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

    RSS dla komentarzy: