11:35
22/10/2019

Uwaga klienci PKO BP!

Otrzymaliśmy informacje o ciekawym phishingu wymierzonym w klientów PKO BP. Klasyczny atak, który zaczyna się od e-maila niby od banku to już w zasadzie rzadkość. A jeśli w dodatku, zamiast hasła do konta najpierw prosi o dane karty płatniczej, to można już zaryzykować stwierdzenie, że znaleźliśmy igłę w stogu siana. Ale dokładnie na taki niezbyt dopracowany (na szczęście!) phishing mogą dziś natknąć się klienci PKO PB.

Oto jak wygląda rozsyłany przez złodziejów e-mail:

Nadawca: PKO Bank Polski secure-support@wp.pl
Twoje konto zostało tymczasowo ograniczone.
Na twoim koncie wykryto kilka nieautoryzowanych logowań,ze względów bezpieczeństwa twoje konto oraz limity wypłat/przelewów zostały tymczasowo ograniczone.
Aby przywrócić pełną funkcjonalność twojego konta kliknij odnośnik [https://www.ipko.pl/bezpieczeństwo/weryfikacja/mojekonto] przejdź przez proces weryfikacji.
Prosimy nie odpowiadać bezpośrednio na tą wiadomość,wiadomość została wygenerowana automatycznie.
Z poważaniem, PKO Bank Polski.

Fałszywkę łatwo można rozpoznać po:

  • Adresie e-mial nadawcy …z domeny @wp.pl
  • Tym gdzie prowadzi link

Choć link wygląda na prawdziwy, to w rzeczywistości odsyła na:

hxxps://ipko.pl-weryfikacja-konta-bank-pko.j[.]pl/twoje-konto-online-PKO.html

A tam na ofiarę czeka następujący formularz:

Po podaniu danych ofiara ofiara widzi:

A następnie jest przekierowywana na:

Gdzie wreszcie ofiara jest proszona o hasło do swojego konta (i inne dane). Ale w jakże nieudaczny sposób… Po uzupełnieniu następuje wyświetlenie poniższego komunikatu i przekierowanie na poprawną, w końcu ładnie wyglądającą stronę banku PKO.

.

Nowa grupa na dzielni?

Sposób przeprowadzenia ataku, jakość wykonania poszczególnych elementów i wykorzystane zasoby sugerują, że mamy do czynienia z nowym graczem na polskim rynku. I to chyba stawiającym pierwsze kroki.

J.pl to alias do cba.pl — darmowego hostingu stron internetowych. Konto na wp.pl i jakość landing page’a pozostawimy bez komentarza.

Z kronikarskiego obowiązku:
pl-weryfikacja-konta-bank-pko.j.pl has address 37.48.70.198

Co robić, jak żyć?

Nie zachęcamy do forceful browsingu plików na serwerze, a nuż odkryjecie plik będący logiem danych z formularza… Nie róbcie tego, niczego nie znajdziecie. Nie ma sensu.

Zachęcamy za to, jak zwykle, do ostrzeżenia znajomych posiadających konta w PKO BP i do zgłoszenia powyższej domeny jako podejrzanej — póki co przeglądarki nie raportują jej jako phishing.

GMail natomiast bardzo ładnie ostrzega przed kliknięciem w link z maila (ale to raczej automatyczny mechanizm dla każdego linku prowadzącego do innego URL niż ten wskazany w HTML-owym opisie linka):

…i dlatego GMail jest najbezpieczniejszym dostawcą poczty dla większości osób, także na smartfonie :)

Podziękowania dla Jacka, który przekazał nam tę próbkę

Takich ataków jest więcej…

I zdarzają się zdecydowanie bardziej dopracowane, dlatego…


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Więcej na temat tego co będzie na wykładzie dowiesz się stąd, a rezerwacji miejsca na wybranym terminie możesz dokonać klikając tutaj.

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Tak się zastanawiam jakim trzeba być głąbem, żeby się bawić w coś takiego i nie zadbać o przestrzeganie reguł pisowni języka polskiego. Włożyli pracę w stworzenie stron, założenie domeny itp. a nie potrafią poprawnie napisać zdania… Ignoranci czy zwykli idioci?

    • To tak jak ze scamem nigeryjskim: celowo jest słaby jakościowo, żeby przyciągnął tylko idiotów. Jeśli będzie dobrej jakości, to złapie się na niego wiele osób, które później i tak odpadną na kolejnym kroku. Bardziej ekonomiczne jest więc mieć na początku 2 idiotów, z których jeden dojdzie do końca ścieżki niż 50 z których 49 i tak się wykruszy (każdy “kosztuje” czas/środki)

    • Założenie domeny? :D Toć to subdomena przyznawana przez cba jak założysz konto :) W podstawówce stawialiśmy na tym strony :) Nie dość że za darmo, to jeszcze można postawić stronę w moment, tylko pozostaje ją napisać. Ale taki rak to gimnazjalista napisze w jeden wieczór :)

    • Gorzej niż “gimbaza”! W rzeczy samej @Szymen, na wszelkich kursach z obsługi kompa korzystają z tej domeny do zabawy.

      Chyba ktoś pozazdrościł powodzenia, ale na krótko, ostatniego takiego ataku na przelew zadłużenia 1.36zł i właściciel firmy stracił 340k. Jednak szybko gościa namierzyli, trzeba przyznać, ale o kasie na razie nic nie wiadomo.

    • Gdyby ten phishing robili polacy, pewnie byś się nie zorientował. ale pewnie z wymiany z PL wrócił jakiś student który jakoś ogarniał polski, więc był on tłumaczem serwisu. tak to na szczęście wygląda.

      tak nawiasem, klikanie w linki z maili jest co najmniej nierozsądne. to jest proszenie się o kłopoty.

  2. Ani jedni, ani drudzy. Wykorzystali technikę.

    PS. A część osób i tak się nabierze…

  3. Niezła posucha skoro piszecie o phishingach, których jest dziennie zatrzęsienie.

    • Zatrzęsienie takich pishingów? Dziwne, niewiele z nich nam podesłałeś… ;p
      A o tym piszemy, bo — gdybyś się wczytał — zauważyłbyś, że jest dość nietypowy i prawdopodobnie premierowy.

  4. Wisienką na torcie byłoby gdyby na phishingowej stronie pojawiły się reklamy (skoro to darmowy hosting) :D

    • Innego banku ;)

  5. atak jest skierowany do osób mało ogarniętych raczej wiec i nie musza sie przejmować pisownią.

    • Marek, wystarczy, że taki mail trafi do ludzi, którzy są w wieku 60+, wcale nie muszą być nieogarnięte, a wręcz przeciwnie. Co do literówek, czy nieschludnej pisowni – O Panie, ile razy ja to widziałem z oficjalnych maili dużych firm, aż głowa boli, więc i tutaj nie byłoby to szczególnie zaskakujące.

      To tak, jakby do Ciebie podszedł budowlaniec i zaczął Ci mówić o różnego rodzaju maltach/papach/klejach/tynkach i nazwał Cię nieogarniętym, bo nie wiedziałbyś o czym mówi, a to niemiłe :)

    • Marcin, zwróć łaskawie uwagę, że pisanie 60+ jest takim łagodnym ośmieszeniem. No staruszek 60+, potrafi tylko wybrać numer na klawiaturze starego telefonu, no bo przecież smartfona nie ogarnia i klawisze powinny mieć no najmniej 1×1 cm. Zacznij chłopie kojarzyć, że goście 60+ mogą od 20 lat i więcej, wlepiać gały w ekrany i mają więcej wiadomości i doświadczenia niż Ty. Pozdrawiam…

  6. Ja tylko chcialem na cos zwrocic uwage, sam nie bedac podmiotem tego typu problemow (lata pracy w bezpieczenstwie IT + paranoja na rozsadnym poziomie):

    To ze ofiarami sa osoby “mało ogarnięte” nie usprawiedliwia ani kradziezy ani poblazania dla sprawcow. O ile brak refleksji jest wada nad ktora trzeba pracowac, nikt nie jest doskonaly a niektorzy ludzie (zwlaszcza o innym profilu (zawod/tryb zycia)) maja prawo byc “nieogarniete”.

    Patrzac analogicznie, ktos moglby powiedziec ze jak nie dbasz o zdrowie i nie trzymasz formy to praktycznie sam sie prosisz o okazyjny, “ciezki wpie* na miescie” bo jakbys przypakowal to nie dosc ze prawdopodobnie bylbys sie w stanie obronic to patologia sama z siebie by ciebie omijala szukajac latwiejszej ofiary…

    • > “niektorzy ludzie (zwlaszcza o innym profilu (zawod/tryb zycia)) maja prawo byc nieogarniete”

      Tu się nie zgodzę. Poziom informatyzacji naszego codziennego życia jest tak ogromny, że od paru lat co najmniej nie ma już miejsca na opcję bycia “nieograniętym”, niezależnie od zawodu i trybu życia. Nikt tez nie mówi tu o poziomie “hakier”, ale o podstawach, porównywalnych do umiejętności zrobienia sobie samemu śniadania i zaparzenia herbaty (bez uszczerbku na zdrowiu i mieniu).

  7. A kluczy U2F jak nie było w bankach tak nie ma. Dlaczego banki w PL są tak zacofane?

    • Wprowadzenie kluczy U2F spowodowałyby auto-DDoS infolinii banku ;)

  8. Nic nie moze byc idealne tak samo jak ten atak gdyby wszystko bylo wyjatkowe i piekne to bylo by nie do uwierzenia , wiadomo ile ofiar? :) ( dla napinaczy nie mam PL klawiatury :D )

  9. uwielbiam czytać Wasze artykuły, czerpać z nich wiedzę etc., ale ostatnio w co drugim dopisujecie marketing o Waszym evencie “Jak nie dać się shakować” – No ile można? ;)

  10. eee, chciałem się pobawić i poszukać jakichś dziur a tu strona już usunięta :-(

  11. Przeciez, za to odpowieda bank. Jesli do Twojego konta zaloguje sie nie Ty. Zapewne zlodzieje, mam tu na mysli banki beda sie zaslaniac “razacym niedbalstwem” ale to nie prawda. Polecam kazdemu w PKO wlaczyc 2FA przez aplikacje IKO, dziala sprawnie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: