9:09
7/4/2011

Od wczoraj polscy internauci otrzymują fałszywe e-maile, które pochodzą rzekomo od Banku Zachodniego WBK.

Treść e-maila poniżej:

Od: “Bank Zachodni WBK”
Do: undisclosed-recipients

Zdezaktywowales(as) swoje konto na Visa/MasterCard.
Wylaczyles(as) swoje konto na Visa/MasterCard. W kazdym momencie mozesz przywrocic swoje konto, uzywajac swojego Visa/MasterCard.
Bedziesz mogl korzystac ze strony jak dawniej.
Pobierz “Bank Zachodni WBK Visa-MasterCard”
Dziekujemy
Zespol Bank Zachodni WBK

Do e-maila dołączony jest załącznik (plik .html) zawierający formularz, który prosi o podanie danych karty, a następnie wysyła je na adres skryptu phishera (hxxp://myforeclosureadvicebuddy.com/pl.php — obecnie nieaktywny), a potem przekierowuje ofiarę na oficjalną stronę Visy. Mamy nadzieję, że niekomu nie trzeba wyjaśniać, dlaczego nie wolno podawać danych karty w tego typu formularzach:

BZ WBK Phishing

BZ WBK Phishing

Lista URL-i pojawiających się w pliku:

<!-- saved from url=(0033)hxxp://phone.ipkall.com/login.asp -->
<LINK rel=STYLESHEET type=text/css href="hxxp://phone.ipkall.com/css/iepc.css">
<IMG src="hxxp://www.cardcomplete.com/cc_com_media/medialibrary/2010/08/i_ecommerce.jpg" alt="logo">
action=hxxp://myforeclosureadvicebuddy.com/pl.php>
<img src="https://www.paypalobjects.com/WEBSCR-640-20110306-1/en_US/i/logo/visa.gif" alt="visa">
<img src="https://www.paypalobjects.com/WEBSCR-640-20110306-1/en_US/i/logo/mastercard.gif" alt="mc">

Dla zainteresowanych, fragment nagłówków, jednej z kopii powyższego e-maila:

Received: from unknown (HELO ntserver1.ntserver1.com) ([173.209.136.14]) (envelope-sender ) by mx.wp.pl (WP-SMTPD) with SMTP for <[hidden]@wp.pl>; 6 Apr 2011 19:25:06 +0200
Received: from User ([65.60.116.82]) by ntserver1.ntserver1.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 6 Apr 2011 13:16:36 -0400

Dziękujemy Krystianowi i Robertowi za przesłanie próbek

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. “Dziękujemy Krystianowi i Robertowi za przesłanie próbek” – normalnie jak w laboratorium ;-).

    Ja nie rozumiem tego.. Czy ktoś, kto się tym zajmuje, nie może się bardziej przyłożyć? No mógł chociaż dać polskie znaki diakrytyczne. Wygląda to tak, jak napisane przez przedszkolaka. Choć pewnie i tak znajdą się tacy, którzy się na to złapią..

  2. Aleksandra – głupich nie brakuje, to fakt. Ja się cieszę, że większość prób phishingu jest tak nieudolna – więcej ludzi zachowa swoje oszczędności.
    Bardziej martwią mnie zagrożenia pokroju Zeusa, które są duuużo lepiej przygotowane…

  3. Dalej się ktoś na takie rzeczy łapie? swoją drogą właśnie dostałem pasek z “noscripta” że “niebezpiecznik” próbuje przechwycić informację metodą cross-site scripting (xss)

  4. Ok dwa lata temu był jeszcze lepszy mail z napisem “Wy macie jedna wiadomosc bezpiecznosci”. Miał nawet zieloną kolorystykę BZWBK. Przynajmniej jednak zagranicznym phisherom nie udaje się podrobić języka polskiego bez jego znajomości. To w końcu jeden z trudniejszych języków na świecie pod względem zasad gramatycznych wyjątków itp.

    • W czym problem aby zlecić przetłumaczenie lub zredagowanie tekstów jakiemuś profesjonalnemu tłumaczowi? Koszt takiej usługi to mały pikuś w stosunku do zysków z phishingu, do tego jednorazowy bo maile i strony można dowolnie powielać. Phishing to jest przecież masowa akcja na wielką skalę! Oczywiście trzeba jeszcze zadbać o inne elementy, np. szatę graficzną na wzór oryginalnej.

  5. “Zdezaktywowales(as) swoje konto na Visa/MasterCard.
    Wylaczyles(as) swoje konto na Visa/MasterCard. W kazdym momencie mozesz przywrocic swoje konto, uzywajac swojego Visa/MasterCard.”

    ja bym jeszcze tak z pięć razy podał frazę Visa/MasterCard, bardziej by to uwiarygodniło tego, przecież genialnego majla, mam tylko nadzieję, że BZ swoje e-maile podpisuje certyfikatem, tak robi np. Inteligo

  6. Torwald niestety przy tych starannych i sprytniejszych próbach ataku odporność jest znikoma. Wskazówka dla przeprowadzających testy na odrobinę większej populacji przy pomocy SET. Jeżeli wyślecie 200 dobrze przygotowanych maili podczas testu penetracyjnego do jakieś koroporacji dotyczących problemu, który trapi pracowników. To nie zdziwcie się jak metasploit się wyspie z powodu zbyt dużej liczby połączeń. Przygotujcie sobie skrypt, który będzie tylko robił screena pulpitu i wyłączał sesje meterpretera dla mniej ważnych hostów. Zorganizujcie load balancing. I nie dziwcie się jeżeli przejmiecie znacznie więcej hostów niż wysłaliście maili. Na przykład 1000-2000.

  7. @Aleksandra
    Sądząc po błędach gramatycznych występujących w tego typu wiadomościach myślę że śmiało można przyjąć założenie że osoba redagująca wiadomość pochodzi z drugiego końca świata i nie ma bladego pojęcia o języku polskim, zaś tekst który wpisała skopiowała po prostu z translatora Google. W tym miejscu wypadałoby dodać jeszcze że niektóre anglojęzyczne przeglądarki internetowe zainstalowane na anglojęzycznym systemie operacyjnym w którym nie ma poprawnej obsługi polskich czcionek, mogą generować właśnie taką “spłaszczoną” (z odciętymi “ogonkami”) wersję tekstu, przez co cracker może nawet nie zdawać sobie sprawy z tego że przygotowany przez niego tekst jest “koślawy”.
    P.S. śliczna jesteś

    • Fakt, większość takich śmieci robionych jest poza granicami Polski. Ale czy nie można by poprosić jakiegoś Polaka o pomoc ;-)? Ale jak wiadomo, są lepsze i gorsze (gdzie nie pofatygują się nawet o wklejenie tekstu do translatora i wysyłają w języku angielskim). Trzeba być czujnym i ostrożnym (i przypominać o zagrożeniu, nieobeznanym w temacie, członkom rodziny).

  8. no dobrze ale KTO sie nabierze na to?

  9. Ooo, jakiś nowy protokół hxxp:// do którego jeszcze nie mam żadnego klienta! Co do samego ataku, jest wysoce nieprofesjonalny, gołym okiem widać, że to ściema. Tylko jakiś bardzo początkujący phisher mógł cos takiego zrobić.

  10. Aleksandra : czemu z takim przejęciem martwisz się o sprawców i ich techniki działania?
    …poprosić jakiegoś Polaka o pomoc… – toż to jawna pomoc takim typkom!
    Na szczęście ,jeżeli nie umieją porządnie tłumaczyć na polski to i nie doczytają się Twoich podpowiedzi.

    • @kik: Ktoś tu chyba wstał dziś lewą nogą ;-)
      Nie martwię się o sprawców, lecz drwię z ich amatorszczyzny.
      Pozdrawiam ;-)

  11. Widac, ze sciema ale logow na 21 kB uzbierał haha

  12. Poza tym ciekawa zabawa. Ubawiłem się, bo postanowiłem sobie sprawdzić, co będzie po wypełnieniu fake’owymi danymi i …

    Po dwóch dniach dostałem maila, że podałem błędne dane. No to jeszcze raz wypełniłem i na drugi dzień ponownie dostałem, że nieprawidłowe dane. Ja na to, że to absolutnie niemożliwe, wszystkie dane są ok. Odpisali mi, że jeżeli 3 raz podam złe dane, to zablokują mi kartę.
    No to jeszcze raz liche dane wklepałem i otrzymałem info, że … zablokowali mi kartę.
    Na to ja odpowiedziałem, dlaczego mi zablokowaliście kartę, skoro wszystkie dane dobrze podałem, proszę o odblokowanie karty i przysłali mi jeszcze raz, a ja znowu liche dane wklepałem!! Ot, taka rozrywka … ;-))))

    • To ja proponuję jeszcze lepszą zabawę. Wiele banków oferuje karty pre-paid. Zamów taką jedną, nie zasilaj jej (saldo 0 zł) ale dane tej karty podawaj każdemu phisherowi gdzie popadnie. Co jakiś czas tylko dzwoń do banku i pytaj kiedy były odmowy autoryzacji, z jakiego kraju i na jakie kwoty! :)

    • No panie! Nie tylko dobra zabawa, ale i pozyteczne toto może być! Majac takie dane ( kraj, ip ) to zdaje się można skutecznie takiego delikwenta ( ów ) namierzyć!:)

    • Jeżeli do “wypłat” podchodzą nieco bardziej profesjonalnie niż do treści mail’a, to wynajmą “słupa” – naiwniaka, który im to wypłaci (np. za obietnicę częsci zysków), a w razie wpadki to jego zgarnie policja. Cóż, kara dla niego za głupotę.
      Niemniej fajny pomysł z marnowaniem ich czasu.

    • re powyżej. Takim słupem jest zwykle bezdomny, odsiadka to dla niego zamiana pijaństwa na darmowy dach nad głową z wyżywieniem. Nie bój się, dobrze wiedzą co robią i co im za to grozi. Ponoć co poniektórzy więźniowie piszą podania o przedłużenie wyroku bo za kratkami mają lepsze warunki życia niż na wolności.

    • @Marcin Maziarz: A wyobraź sobie, że to też mi chodziło po głowie, aby taką podpuchę wykręcić z pre-paidem i zbierać dane z czystej ciekawości.
      Więcej, mam też konto w Inteligo, mimo, że tutaj trzeba mieć min 100PLN na koncie (choć niekoniecznie), to już dużo wcześniej też myślałem przetestować pod tym samym kontem. Tylko szkoda mi było tracić to konto i dałem sobie spokój. Obecnie nadarza się lepsza okazja na takie testy! ;-)

  13. Dobrze że BZ WBK swoją pocztę przesyła bezpośrednio na swój webmail na własnej stronie z naszymi środkami ;) i każdą inną wiadomość z poza ignoruje ;)

  14. […] są narażeni na różne próby wykradania ich danych. Warto rzucić czasem okiem na niebezpiecznik.pl i poczytać co może nas spotkać. By zapewnić nam i naszym danym większe […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.