Artykuły dotyczące tematu: oszustwo

dodany: 20.06.2013 | tagi: , , , ,

Klienci PKO uważajcie na phishing

17

Użytkownicy usługi internetowego banku iPKO powinni uważać na fałszywe wiadomości email, które służą do wyciągnięcia danych potrzebnych do uwierzytelnienia. Wiadomość ta zawiera link, który prowadzi do podrobionej strony iPKO. Jak nie trudno się domyślić, wprowadzone przez nas dane są przekazywane oczywiście cybeprzestępcom.

Sam mail jest zatytułowany tematem „Nowa wiadomosc !” i pochodzi ze sfałszowanego adresu „serwis.internetowy@ipk.pl”

 

 

 

Wiadomość e-mail docierająca do użytkowników w ramach nowego ataku phishingowego (źródło KasperskyLab)

Wiadomość e-mail docierająca do użytkowników w ramach nowego ataku phishingowego (źródło KasperskyLab)

Wiadomość e-mail docierająca do użytkowników w ramach nowego ataku phishingowego (źródło KasperskyLab)

 

 

Oszuści stosują prosty wybieg, który miejmy nadzieje, że wzbudza w większości klientów podejrzane działanie. Wg treści rzekomo otrzymaliśmy nową wiadomość od iPKO, którą możemy odczytać po kliknięciu w zawarte w treści łącze. Jeśli to uczynimy naszym oczom ukaże się następująca strona zawierające logowanie:

Sfałszowana strona logowania do serwisu iPKO (źródło KasperskyLab)

Sfałszowana strona logowania do serwisu iPKO
(źródło KasperskyLab)

Oto jak wygląda oryginalna strona iPKO:

Prawdziwa strona serwisu iPKO

Prawdziwa strona serwisu iPKO

Jak widać różnice są praktycznie żadne, poza komunikatami dotyczącymi przerwy technicznej a także fałszywej strony – niestety dotyczy to problemu z ubiegłego roku…

stary komunikat ipko

Komunikat iPKO o sfałszowanej stronie.

Przynajmniej wiadomo gdzie powinniśmy zgłosić oszustwo. Dziwi jednak fakt, że PKO nie informuje klientów o aktualnej próbie wyłudzenia…

 

Co się dzieje po podaniu danych na sfałszowanej stronie?

Jeśli wprowadzimy dane do logowania to czeka nas kolejna strona na której jesteśmy proszeni o wprowadzenie 30 kolejnych kodów jednorazowych:

Fałśzywa strona nakłaniająca do podania kodów jednorazowych autoryzujących transakcje bankowe (źródło Kaspersky Lab)

Fałszywa strona nakłaniająca do podania kodów jednorazowych (źródło Kaspersky Lab)

„Sama wiadomość phishingowa nie została przygotowana szczególnie starannie – widać, że cyberprzestępcy nastawili się na atakowanie użytkowników, którzy nie czytają zbyt wnikliwie korespondencji i do kliknięcia odsyłacza wystarczy im fakt, że wiadomość pochodzi z banku” – powiedział Maciej Ziarek, ekspert ds. bezpieczeństwa IT, Kaspersky Lab Polska. „Kiedy jednak użytkownik kliknie link, na ekranie pojawia się wierna kopia strony logowania banku, co może zmylić niejednego właściciela konta”.

Kaspersky Lab Polska podkreśla, że PKO Bank Polski ma nic wspólnego z wysyłaniem tej wiadomości e-mail. Jest to typowy atak phishingowy mający na celu wyłudzenie informacji od użytkowników.

dodany: 11.06.2013 | tagi: , , , , , ,

Phishing – jak oni to robią? Przeczytaj, żeby wiedzieć jak się bronić

6

Pewnie wielu z was zastanawiało się, jak wyglądają ataki phishingowe. Ostatnio opisywaliśmy, jak wygląda ten proces od strony ofiary (zobacz artykuł: Anatomia phishingu) – dzisiaj przyjrzymy się drugiej stronie medalu, a więc temu, jakie narzędzia i sposoby są najczęściej wykorzystywane przez cyberprzestępców.

W sieci natknęliśmy się na materiał, będący swego rodzaju przewodnikiem dla phisherów. Postanowiliśmy przetłumaczyć dla Was obszerne fragmenty, ponieważ wiedząc, jak działają phisherzy, można skuteczniej bronić się przed ich szkodliwą działalnością. Nasz materiał ma na celu przede wszystkim pokazanie, jak można się chronić oraz na co należy zwrócić uwagę podczas wdrażania polityki zabezpieczeń.

Ataki poprzez e-mail za każdym razem muszą przyciągnąć uwagę i być unikalne. Proces tworzenia zakończonej sukcesem e-mailowej kampanii phishingowej jest bardzo metodyczny i zdecydowaną większość czasu, uwagi i pracy przestępca poświęca etapowi planowania.

Dobry poziom bezpieczeństwa oznacza zabezpieczania wielopoziomowe i wiele z tych poziomów może potencjalnie zniszczyć próbę phishingu. Niektóre z możliwych przeszkód dla przestępcy, to między innymi – wszelkie filtry antyspamowe (np. Email Gateway Spam Filter, Outlook „Junk E-mail” Filter), antywirusy, systemy zapobiegające wtargnięciom (z ang. Intrusion Prevention Systems), serwery Web Proxy i tak dalej. Jednak przestępcom udaje się pokonywać postawione im przeszkody. Przyjrzymy się kilku najbardziej powszechnym systemom bezpieczeństwa, żeby zobaczyć, jak phisher może omijać ich zabezpieczenia.

Zdobywanie adresów e-mail

Jedną z pierwszych rzeczy, jaką atakujący musi zrobić w każdej kampanii phishingowej, jest pozyskanie adresów e-mail. Jednak nie może wysyłać wiadomości, jeśli nie wie, gdzie ma je wysłać.

Uwaga: I tutaj z pomocą dla phishera przychodzi np. Jigsaw, który w prosty i szybki sposób znajduje odpowiednie adresy. Obecnie ma on nawet wsparcie baz danych i może wygenerować plik CSV z danymi. Doskonale działa po założeniu darmowego konta na jigsaw.com i podaniu swoich danych jako argumenty w linii poleceń.

01

W inny sposób można zrobić to samo za pomocą theHarvester. Mały skrypt napisany w pythonie, który jest częścią dystrybucji BackTrack 5. Skrypt ma możliwość przeszukiwania różnych wyszukiwarek do szybkiego pozyskiwania adresów.

02

Omijanie antywirusów

Nie będziemy opisywać zbyt obszernie, jak cyberprzestępca może ominąć zabezpieczenia programu antywirusowego, ponieważ temat ten poruszany jest przez wiele blogów, kanałów IRC, filmików na YouTube i wszystkie inne możliwe kanały komunikacji. Jeśli chcesz dowiedzieć się więcej na ten temat, warto rzucić okiem np. na wiki Metasploita, w którym wszystko jest wytłumaczone w przyjazny sposób.

Uwaga: Internet dostarcza cyberprzestępcom ogromnej wiedzy. Łatwo można znaleźć chociażby kilka artykułów opisujących, jak użyć cache DNS w celu wykrycia używanego antywirusa przez upatrzony cel (czyli ofiarę).

Cyberprzestępcy nie skąpią także czasu na instalację antywirusa w maszynie wirtualnej przed wysyłaniem swoich wiadomości. Często są to dokładnie odwzorowane kopie systemu, który chcą atakować. Jednak nie zawsze jest to możliwe, ale z pewnością testują wszystkie najpopularniejsze i darmowe antywirusy, takie jak Microsoft Security Essentials, AVG, Comodo itd. Tym samym sprawdzają, czy uda im się przejść obok zabezpieczeń oprogramowania antywirusowego potencjalnej ofiary.

Większość kompresorów jest oznaczana przez programy zabezpieczające, ale niektóre zabezpieczenia plików przechodzą bez problemu przez większość silników skanowania.

Uwaga: Cyberprzestępcy chcąc dodatkowo umocnić swój złośliwy program, kupują często poprawny certyfikat i podpisują nim plik, by w ten sposób dla ofiar program wyglądał wiarygodnie!

Wyjście poza filtry

Tutaj phisherzy mają dwie możliwości. Mogą użyć odwrotnego https, które jest świadomym proxy albo reverse_tcp_all_ports. Ten drugi to moduł, który implementuje odwrócony sterownik TCP. Sterownik nasłuchuje na jednym porcie TCP i system operacyjny przekierowuje wszystkie przychodzące połączenia na wszystkich portach do tego nasłuchiwanego. Do poprawnego działania wymaga to iptables albo innego filtra pakietów. Przykładowo taka komenda na systemie bazującym na Linuksie przekierowuje cały ruch na port 443/tcp:

Uwaga: Ważną sztuczką jest możliwość przeniesienia ssh na port 65535 w celu zdalnego logowania na maszynie nie przeszkadzając w kampanii phishingowej.

iptables -t nat -A PREROUTING -p tcp –dport 1:65534 -j REDIRECT –to-ports 443

reverse_https ustala połączenie za pomocą szyfrowanego tunelu, co powoduje trudności dla systemów zapobiegających włamaniom. Systemy nie mogą wykryć podejrzanego ruchu wewnątrz szyfrowanego tunelu.

Większość osób odpowiedzialnych za ataki phishingowe wybiera reverse_https, które łączy się do LHOST=X.X.X.X i LPORT=433. Prawie wszystkie korporacje zezwalają na przeglądanie Internetu, więc ten wybór wygląda dla nich jak zwykły ruch HTTPS.

Scenariusz ataku

Z poprzedniego artykułu wiemy, że użytkownicy, niestety, klikają w podejrzane i fałszywe linki. Wygląda na to, że nie ma znaczenia, jak bardzo dobre treningi uświadamiające prowadzone są w firmie – zawsze znajdzie się ktoś, kto kliknie w spreparowany adres.

Jednym z ciekawszych (ze strony atakującego) scenariuszy jest dostarczenie wiadomości e-mail wyglądającej na wysłaną przez wewnętrzną firmę IT, zawierającej informacje, iż „nowa krytyczna łatka została wydana i każdy musi zainstalować aktualizację”. Wtedy atakujący wysyła link do strony wyglądającej podobnie, jak na zrzucie ekranu niżej.

03

Uwaga: Atakującemu wystarczy sklonowanie strony i uruchomienie jej na swoim serwerze. Phisherzy używają do tego prostych narzędzi, np. SET (z ang. Social Engineer Toolkit), by strona znalazła się w set/src/program_junk.

Serwery Web Proxy

Wiele korporacji uruchamia serwery Web Proxy, które blokują końcowym użytkownikom odwiedzanie niektórych stron internetowych. Niektóre serwery mają wbudowane skanery antywirusowe, które wykrywają czy istnieje jakiś podejrzany ruch na interfejsie sieciowym. Niektóre firmy blokują nawet ściąganie jakichkolwiek plików wykonywalnych. Można się zastanawiać, jak phisher ma dostarczyć swój program do użytkownika końcowego, kiedy nie może on ściągać żadnych plików wykonywalnych? I tutaj należy zwrócić uwagę na zagrożenia!

Uwaga: W tym momencie atakujący może wykorzystać poprawny certyfikat SSL, jeśli zainwestował wcześniej w jego zakup. W ten sposób, podczas połączenia ze spreparowaną stroną, zostaje nawiązany tunel SSL. Zaszyfrowany tunel zdecydowanie utrudnia pracę serwerowi Proxy, tak że nie zauważy on, czy ruch nie jest przypadkiem podejrzany. Skoro serwer nie jest w stanie tego wykryć, nie zauważy też, że użytkownik ściąga plik wykonywalny – dla Proxy będzie to niewidzialne.

Wysyłanie e-maili

Kiedy przychodzi czas wysyłania wiadomości, phisher ma kilka różnych możliwości. Po pierwsze może wybrać E-mail spoofing (podszyć się pod istniejący adres, np. osoby znanej, wiarygodnej) albo kupić przekonującą domenę. Na potrzeby tego artykułu skupimy się na wysyłaniu e-maili z zakupionej domeny.

Wiele bramek e-mail (ang. email gateways) sprawdza odwrotne DNS domeny, z której otrzymuje wiadomość. Jeżeli domena nie ma przypisanego rekordu MX wiele bramek odrzuci takiego e-maila i wtedy kampania phishingowa nie odniesie żadnego skutku.

Uwaga: Przestępcy potrafią bronić się przed tymi zabezpieczeniami przez automatyczne ustawianie rekordów MX, bez zmartwienia ustawieniami DNS w sposób poprawny.

06

Innym sposobem obrony wykorzystywanym przez atakujących jest wykonanie whois na domenie wysyłającego przez serwer SMTP – tylko po to, by upewnić się, że wszystko wygląda normalnie. Atakujący może przezwyciężyć ten mechanizm sprawdzając whois domeny, którą zamierza udawać i uzupełnić w panelu takimi samymi danymi.

07

Uwaga: Phisherzy mogą posługiwać się rozmaitymi skryptami, np. pobierającymi listę adresów i wiadomość, którą wysyłają do wszystkich oraz dodającymi do linku zakodowany w base64 adres e-mail odbiorcy. Dzięki temu mogą sprawdzać, kto wszedł na ich fałszywą stronę.

Przykładowy link z base64: http://example.com/index.php?dXNlckBleGFtcGxlLmNvbQ==

Niżej wynik działania skryptu wysyłającego wiadomość do dwóch użytkowników.

08

Wiedząc jak działają phisherzy, można skuteczniej bronić się przed ich działalnością. Warto uświadomić sobie, że przestępcy potrafią obejść zabezpieczenia, które mogłoby się wydawać, że są nie do przejścia. Mamy nadzieję, że nasz materiał pomoże zarówno administratorom, jak i zwykłym chronić siebie i swoje komputery przed phishingiem.

 

Źródło: pentestgeek.com/2013/01/30/how-do-i-phish-advanced-email-phishing-tactics

dodany: 07.06.2013 | tagi: , ,

Spam hotelowy, czyli jak cyberprzestępcy piorą brudne pieniądze

0

Powszechnie wiadomym faktem jest, że głównym motywem działania współczesnych cyberprzestępców jest zarabianie pieniędzy. Co jednak oszuści robią, by skradzione pieniądze wyprać? Eksperci z Kaspersky Lab przechwycili niedawno interesujące wiadomości spamowe, które z pozoru wyglądają na wysłane przez przypadek na zły adres. Wnikliwa analiza wykazała jednak, że e-maile te to element sprytnie skonstruowanego mechanizmu prania brudnych pieniędzy.

Przechwycone przez ekspertów z Kaspersky Lab wiadomości docierają do potencjalnych ofiar z rozmaitych adresów e-mail zarejestrowanych najczęściej w serwisach pocztowych Google i Yahoo. W anglojęzycznej treści nadawca prosi o dokonanie rezerwacji pokoju hotelowego lub biletów lotniczych dla całej rodziny. Na pierwszy rzut oka wygląda to jak pomyłka – e-mail wysłany przypadkowo na zły adres.

Jeżeli jednak spojrzeć na te wiadomości bardziej wnikliwie, można zwietrzyć oszustwo. Po pierwsze, e-mail nie jest adresowany do konkretnej osoby. Po drugie, nie zawiera nazwy hotelu, nie mówiąc już o nazwie kraju, w którym zamierza przebywać rzekomy gość. Zamiast tego pojawiają się takie sformułowania jak „twój kraj” lub „twój region”, które stanowią charakterystyczne ogólniki stosowane przez spamerów rozprzestrzeniających masowe wysyłki. Co więcej, język użyty w tych e-mailach wydaje się nieco nienaturalny i brzmi podejrzanie zważywszy na to, że ich autorami są rzekomo osoby, dla których angielski jest rodzimym językiem. Przysłowiowym gwoździem do trumny jest to, że tekst zawiera błędy gramatyczne i interpunkcyjne.

klp_spam_pranie_brudnych_pieniedzy_small

Gdzie tkwi haczyk?

W rzeczywistości omawiane wiadomości stanowią element oszukańczej kampanii stosowanej przez cyberprzestępców w celu prania brudnych pieniędzy uzyskanych przy użyciu skradzionych kart kredytowych. Jeżeli odbiorca takiego e-maila okaże się pracownikiem hotelu i odpowie na niego, oszuści wyślą do niego kolejną wiadomość zawierającą informacje dotyczące karty kredytowej oraz prośbę o pobranie kwoty, która znacznie przewyższa cenę rezerwacji. Różnicę należy przelać na wskazany adres za pośrednictwem Western Union. Oszust twierdzi, że jest ona przeznaczona dla agenta biura podróży organizującego wyjazd. Autorzy takich wiadomości wymyślają różne powody, dla których agent nie jest w stanie pobrać kwoty z karty, a potencjalny turysta sam nie może dokonać przelewu. Niedługo po tym oszuści anulują rezerwację, odzyskując pozostałą część sumy, która w tym momencie jest już „wyprana”.

Tego rodzaju oszukańcze wiadomości są zazwyczaj wysyłane na adresy korporacyjne, szczególnie te, które zawierają słowo „info”. Jeżeli odbiorca odpowie na przynajmniej jedną z takich wiadomości, kolejne zaczną się pojawiać w jego skrzynce pocztowej z niespodziewaną regularnością. Tego rodzaju oszustwo stanowi mniej znany wariant przekrętu nigeryjskiego. Jest stosowane od wielu lat, z tą różnicą, że wcześniej cyberprzestępcy wysyłali menedżerom hoteli fałszywe czeki, a następnie anulowali rezerwacje i otrzymywali zwrot. Dzisiaj, w dobie rozpowszechnienia bankowości online, cyberprzestępcy wykorzystują głównie skradzione karty kredytowe.

Wszystkim użytkownikom zalecamy usuwanie takich e-maili. Pracownicy hoteli powinni wykazać się szczególną ostrożnością, ponieważ jeżeli nabiorą się na takie oszustwo, mogą zostać oskarżeni o udział w praniu brudnych pieniędzy

–  mówi Daria Gudkowa, szefowa działu badań i analizy zawartości, Kaspersky Lab.

dodany: 08.03.2013 | tagi: , ,

Androidowy trojan w stylu Bollywood

0

Eksperci z McAfee odkryli nowy szczep trojanów przeznaczonych na urządzenia z Androidem na pokładzie. tym razem hakerzy postanowili pójść w stronę Bollywood.

McAfee Mobile Research zidentyfikowało 5 aplikacji zawierających Antroid Trojan/JobFraud.

Trojan niczym złoczyńca w niejednym bollywoodzkim filmie działa w tle, mącąc szczęście głównego bohatera. A gdy urządzenie jest uruchamiane pokazuje komunikat „Ważny e-mail od HR, zrób, co trzeba”. Gdy użytkownik zrobi co trzeba, zostaje przekierowany na stronę z fałszywą ofertą pracy.

mobile_tata_job_fraud

 

Źródło: McAfee

Trik polega na tym, aby ofiara uwierzyła, że została faktycznie wybrana jako kandydat do nowej pracy. W celu zabezpieczenia otrzymanego stanowiska muszą dokonać wpłaty na podane konto bankowe.

mobile_tata_job_fraud2

Fałszywy mail, którego nadawcą rzekomo jest firma TATA. Źródło: McAfee

Dochodzenie McAfee pokazało, że istnieją dwie wersje tego oszustwa. Jedno krążyło po sieci w styczniu drugie w lutym. Odnoszą się one jednak do tej samej oferty pracy z niewielkimi różnicami w datach.

dodany: 06.10.2012 | tagi: , , ,

Nowe cele phishingowych oszustów

8

Nowy, złośliwy e-mail nęka użytkowników, wmawiając im, że szczegóły ich kart płatniczych są w opałach. Dzieje się tak od rozpoczęcia współpracy Visy i MasterCard z Cryptico, co 27 września 2012 roku objawiło się naruszeniem zabezpieczeń, a zostało ogłoszone przez Softpedię.

Cryptico jest prywatną spółką specjalizującą się w kryptografii.

E-mail zatytułowany „Twoje dane osobowe są zagrożone” zaczyna się słowami bardzo miłymi

Drodzy szanowni klienci, w ostatnich kilku tygodniach byliśmy ostrzegani przez Cryptico o problemach związanych z bezpieczeństwem naszym i naszego Internetu (konsorcjum zajmujące się bezpieczeństwem). Podstawą tej wiadomości jest uświadomienie Was o zdarzeniu naruszającym ochronę. Aby aktywować informacje o Waszym koncie prosimy o wizytę na stronie bankowości internetowej i podanie wszystkich danych posiadanej karty kredytowej, gdyż informacje te są zagrożone. Identity Theft departamentu Viva lub MasterCard.

Oczywiście, wiadomość nie ma żadnego powiązania z Visą czy MasterCard. Ci, którzy uwierzą i klikną w oszukańczy link zostaną zabrani do fałszywej strony internetowej i poproszeni o zainicjowanie procesu aktywacji poprzez podanie numeru karty. Wszystko wygląda jak na prawdziwej stronie Visy czy MasterCard.

Wszystkie informacje, które zostaną zebrane, zostają przekazane fikcyjnym postaciom, które będą wysyłać je dalej przestępcom, a ci będą generować transakcje na fałszywe nazwiska.