23:14
31/1/2013

Od godziny 21:00, z wielu źródeł zaczęły napływać do nas doniesienia o fałszywych e-mailach, podszywających się pod bank iPKO. Skala phishingu musi więc być całkiem spora. Poniżej szczegóły ataku:

iPKO – phishing

Oto treść rozsyłanego masowo do Polaków e-maila:

iPKO

iPKO phishing

Return-Path:
Received: by o2.pl (o2.pl mailsystem) with LMTP;
Thu, 31 Jan 2013 21:14:57 +0100
Received: from v061701.home.net.pl [79.96.42.233]
by mx9.go2.pl with ESMTP id MfhGdv;
Thu, 31 Jan 2013 21:14:57 +0100
Received-SPF: pass (mx9.go2.pl: domain of balnt@home.pl
designates 79.96.42.233 as permitted sender)
Date: Thu, 31 Jan 2013 20:12:25 -0000
Message-ID: <20130131201225.29053.qmail@home.pl>
To:
Subject: Wykrylismy Probe Wlamania Na Twoje Konto Bankowe iPKO
MIME-Version: 1.0
Content-type: text/html; charset=utf-8
From: bank@ipko.pl
Reply-To: bank@ipko.pl
Cc: bank@ipko.pl
X-O2-Trust: 3, 43
X-O2-SPF: pass

Treść wiadomości:
Drogi Użytkowniku!

Wykryliśmy serie logowań z za granicy do Twojego konta internetowego iPKO.
Do logowania użyto niepoprawnych haseł.
W celu zapewnienia Ci maksymalnego bezpieczeństwa tymczasowo wstrzymaliśmy możliwość Internetowego dostępu do Twojego konta.
Abyś mógł bezpiecznie odzyskać dostęp do swojego konta utworzyliśmy specjalny bezpieczny adres www.weryfikacja-ipko.cu.cc
Po zalogowaniu nastąpi weryfikacja Twojej tożsamości która pozwoli Ci bezpiecznie odzyskać dostęp do Twojego rachunku.
Z Poważaniem Mariusz Lichowicz
Dział Intendentury i Monitoringu Banku PKO BP.

Po przejściu na wskazaną, fałszywą stronę podszywającą się pod iPKO i próbie zalogowania się, oczom ofiary ukaże się prośba o podanie kodów z karty zdrapki:

Serwis internetowy iPKO

Serwis internetowy iPKO – phishing

Atakujący (na szczęście dla ofiar) popełnili szereg literówek oraz błędów ortograficznych. Wiarygodnie wygladający phishing to chyba ciągle święty Graal..

PS. Charakterystyczny podpis zawierający zwrot “Dział Intendentury i Monitoringu” został wymyślony jako żart przez naszego czytelnika, i wywodzi sie z tego wątku. W przeszłości w atakach phishingowych używał go niejaki Armaged0n — czy i tym razem, to on stoi za atakiem? Do schematu oprócz podpisu pasuje wykorzystanie serwerów home do rozsyłania poczty…

PPS. Phisher nie jest zbyt dobry w te klocki — chwila zabawy i na serwerze udało się odnaleźć plik przyjmujący “wykradzione” dane — a w nim, sami bystrzy klienci ;)

ipko-weryfikacja.site90.com

Ten się nie nabrał… ;)

Na razie 65 “ofiar”.

PPPS. I zepsuliście, wy źli, niedobrzy czytelnicy Niebezpiecznika. Zaklikaliście mu serwer na śmierć. Koniec zabawy:

000webhost.com - free web hosting provider

Phisherowi zabrakło zasobów ;)

Dziękujemy za pomoc :-)

Przeczytaj także:


33 komentarzy

Dodaj komentarz
  1. Logic fail w Firefoxie swoją drogą, randomowy adres, a on przypomina numer konta, który został wpisany na oryginalnej stronie ipko.

    • No tak -“losowy” to obciach ale “randomowy” daje +10 do
      profesjonalizmu :)

  2. Już nie działa.

  3. CPU Limit Reached
    You are seeing this page because website has reached CPU usage limit of the server, and it was temporarily disabled.

    Niebezpiecznik efekt

  4. Fajnie że ja nie jestem klientem PKO a dostałem takiego maila. Szkoda że nie zdążyłem sobie na tej stronce poklikać ;(

  5. Ciągle narzekacie na niską jakość takich stron. Może wzięlibyście się do roboty i pokazali jak należy to zrobić prawidłowo? :)

  6. W nagłówkach maila jest login konta na home.pl.

    http://balnt.home.pl/

  7. oo, 000łebhost, polecam ten serwis, za darmo chyba nie ma nic lepszego. Podobno monitorują czy ktoś nie używa ich kont do niecnych (nielegalnych) celów, więc gość za niedługo wyleci. Z drugiej strony wiadomo że założy następne konto.

    • serversfree.com

  8. Mnie zastanawia jedno zawsze: czy nikt nie wpadnie na to, żeby SPRAWDZIĆ czy konto jest zablokowane czy nie ? I to nie klikając na bzdurny link z maila tylko wchodząc (jak zwykle) na odpowiednią stronę WWW ?

    Kolejna rzecz, której nie potrafię pojąć, to beznadziejna treść maili phishingowych… Ja wiem, że to nie Polacy je piszą (mam nadzieję :P) ale mogliby się trochę postarać.
    O ‘genialnie’ wiarygodnym linku do strony (i adresie WWW wyświetlanym przez przeglądarkę) już szkoda mi pisać…

    • Nie wszyscy niestety są tak bystrzy i uświadomieni jak Ty, czy przeciętny czytelnik Niebezpiecznika ;)
      Stworzenie takiego phishingu to ok. 30min. pracy i kilka PLN na domenę. Niech nawet podziała z 3 godzny (jak ten), niech faktycznie tylko 65 osób go wypełni (jak tego). Niech pośród tych 65 wypełniających tylko 1 naiwna osoba się złapie i poda rzeczywiste dane. Efekt? Masz dostęp do jednego konta za 30 min. pracy — odpowiedz sobie sam, czy się opłaca… Bo czy warto ryzykować, to inne pytanie.

    • Tylko tu idzie masówka. Phising przygotowała najprawdopodobniej ta sama osoba co kiedyś dot. Allegro. Konto posiadam w mbanku a nie PKO więc teoretycznie maila dostać nie powinienem a tutaj joke ;) Gość ma baze adresów i na nią śle

    • @Piotr Konieczny
      Ok, całkowicie się zgadzam. Taką stawkę godzinową (o ile konto nie jest puste ;) to mało kto może osiągnąć.
      A czy warto ryzykować ? Jak tylko jedna osoba się nabierze i ktoś jej konto wyczyści, to Policja nie potraktuje sprawy priorytetowo. A bank ubezpieczony jest przecież…

      PS. Ciekawi mnie jak wygląda sprawa odzyskania pieniędzy po czymś takim. Bank się pewnie wypnie na klienta, bo sam jest sobie winien (a chyba każdy ostrzega przed takimi mailami i podawaniem loginów/haseł/kodów jednorazowych). Ewentualnej sprawy w sądzie klient też nie wygra…
      W zasadzie – czysty zysk dla atakującego i małe ryzyko wpadki (o ile nie jest debilem i ma patent na ‘bezpieczne’ przejęcie pieniędzy)

  9. ESET zablokowal mi wejscie na jego strone:(

  10. To jest jakiś dzieciak, widać na pierwszy rzut oka że jego dzieła nie mają za grosza “tej profesionalności”. Wystarczy przez jakiegoś tora zrobić darmową domenę (próbną), np. ipko-bezpieczenstwo.pl i wrzucić na jakiś hosting lepszy (darmowy, bez reklam – jest taki ;]), zakryć index, zapisywać do bazy albo na maila i przy wysyłaniu “wygenerowanego” linku dać jakąś dłuższą nazwę, bo wtedy nikt się nie zastanawia nad linkiem.
    np. ipko-bezpieczenstwo.pl/weryfikuj?456456414231165642315646&h456321fd45645464

    ehhh…. mam przygotowaną wersję takiego phishingu do gg, ale nie chcę mieć problemów ;) Wysyła na maila @tor wszystkie hasła, wygląda bardziej bezpiecznie nawet niz samo gg :) eh takie tam myki są, że aż się boję to wypuścić

    prosi o zmianę hasła i mówi że hasło zostanie zmienione dla bezpieczeństwa za 48h (tak, prze zemnie :D) a userek sobie straci numerek,

    btw fajne numery można wyłowić, np. kilku cyfrowe

  11. Już jest kolejne konto :)
    hxxp://pkobp.comze.com/

    • Ale chyba chmodów nie ustawił bo w pwd.txt pusto :(

    • Już nie działa :/

  12. Nadal dziala!

  13. btw xD
    http://gobarbra.com/hit/new-83cf37ce1ee4cbdf7929b3021a517170
    ustawić mu to zamiast głównej xD

  14. Trzeba przyznać, że ładna reakcja na incydent – skuteczna i szybka. ;-)))

  15. http://balnt.home.pl/index.php.phishing ehh

  16. Z tym stwierdzeniem “… popełnili szereg literówek oraz
    błędów ortograficznych…” lekko przesadziliście. Parę znaków
    interpunkcyjnych i “…z za…” to jednak niezbyt wiele. Już
    większym błędem jest Wasz tekst “…czytelnika, i wywodzi…” oraz
    “..a w nim, sami bystrzy klienci”. Także ,trochę samokrytycyzmu

    • Pisze się “tak że trochę samokrytycyzmu” a nie “także
      ,trochę samokrytycyzmu”. Jeden błąd ortograficzny, jeden błąd
      interpunkcyjny, jeden błąd spacji po niewłaściwej stronie przecinka
      :P

  17. Z mojego konta i tak by nie pokradli nawet jakbym się dał bo konto świeci pustkami :D

  18. Nie rozumiem, dlaczego autor robi tak słaby phishing ;/

    • Bo to pewnie Armaged0n “członek” Intendentury i Monitoringu Banku PKO BP

  19. I dlatego, na wszelki wypadek przerzuciłem się z weryfikacji “karta zdrapka” na potwierdzenie sms ;)

    * – w sumie prawda była nieco inna, karta zdrapka straciła ważność, nową wysłali mi na adres w którym już nie mieszkam, więc… zamiast deaktywować istniejącą i tworzyć kolejną DB zaproponował mi autoryzowanie każdej tranzakcji poprzez jednorazowy kod sms, ale też jest całkiem nieźle.

  20. Dostałem nawet dwa takie i DoS poszedł :D

  21. Zastawiłem pułapkę na hakiera, wpisałem swój numer klienta,
    i złe hasło, po czym nasz bohater próbował zalogować się na konto 3
    razy, i ono zostało zablokowane, następnie udałem się do banku, IP
    hakiera już mają, zobaczymy co z tym zrobią

  22. Nie wiem, gdzie Wy te swoje e-maile zostawiacie…na
    forach? jakich? ja jeszcze nigdy takiego czegoś nie
    dostałam.

  23. Wystarczy logicznie pomyśleć – “przecież na iPKO nie
    podawałem e-mail”

  24. […] Wyłudzanie pieniędzy przez internet stało się trudniejsze, o wiele łatwiej oszustowi jest przelać pieniądze z konta do którego dostał loginy i hasła. Dzięki dwuetapowej weryfikacji wiarygodności użytkownika próby wyłudzania haseł do banków się zmniejszyły. Włamania na konta bankowe jednak się zdarzają, użytkownik banku ani sam bank często nawet nie widzi tego faktu. Przy użyciu prawidłowych haseł takie wejście jest niezauważalne. Systemy bankowe posiadają dodatkowe zabezpieczenia, każda nowa operacja wymaga potwierdzenia, ale informacja o stanie konta bankowego to też cenna wiedza. O atakach na klientów jednego z polskich banków pisze niebezpiecznik. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: