Rhybári lovia v OTP banke

Andrej Probst, 20. november 2015, Bezpečnosť, čítalo 860 ľudí

Keď sa rhybárči, tak sa rhybárči naraz na viacero bánk. Kvantita má u útočníkov prednosť pred kvalitou. Ukázali sme, ako prebieha phishing na klientov Tatra banky. Ten istý útok a ten istý útočník útočí aj na ostatné banky. Útok tak prebieha naraz na klientov viacerých bánk v jednej krajine. V našom prípade je druhou obeťou, a zrejme nie poslednou, OTP banka.

Podvodný email

Podvodný email je zaslaný od toho istého odosielateľa ako u Tatra banky: ricardo.madureira@cm-coimbra.pt. Zaujímavé je, že hoci ide o slovenskú banku, email je v češtine. To môže byť spôsobené tým, príjemca emailu je v Českej republike, HTML email detekuje české prostredie, posiela preklad v češtine. Ide opäť o strojový preklad s mnohými gramatickými chybami.

Vážený zákazníku,
Chtěli bychom Vám zdůraznit, že přístup the Vašeho internetového bankovnictví již brzy vyprší.
Aby bylo možné i nadále online využívat bankovnictví, žádáme Vás the potvrzení svých údajů pomoči odkazu níže.
Online pro aktualizaci svého bankovního účtu klikněte zde
Bankovní účet bude automaticky obnoven, poté Vás bude kontaktovat jeden z Nasich zaměstnanců.

S pozdravem,
Klára Pačesová,
Agentka zákaznického Servisu

Adresátovi prišiel ešte jeden mail s tým istým útokom. Tentokrát v slovenčine. Adresa odosielateľa používa tú istú doménu mjoao@cm-coimbra.pt. Podvodný odkaz sa líši od českej varianty a je to http://metalikuplast.net/OTP/public_html/OTPdirekt-internet%20banking-en.htm?https://otpdirekt.otpbanka.sk/login/login_main_jelszoalapu.jsp . Zaujímavé na tomto odkaze je, že podvodná stránka je umiestnená na stránke predajcu plastových dvier, ktorý má zrejme nezabezpečený web a útočník na ňom umiestnil podvodné stránky. Takto je ťažké vypátrať autora škodlivého kódu.

Vážený zákazník,
Radi by sme Vás informovali, že prístup k online bankovníctvo čoskoro vyprší.
Aby bolo možné pokračovať v používaní internetového bankovníctva, žiadame vás o potvrdenie vašich dát pomocou odkazu nižšie.
Ak chcete aktualizovať svoj bankový účet on-line, prosím,

klikni sem

Bankový účet bude automaticky reštartuje, jeden z našich pracovníkov Vás bude kontaktovať telefonicky na dokončenie procesu.

Váš úprimne,
Agent Zákaznícky servis
OTPbank.

Podvodná stránka elektronického bankovníctva

Podvodná stránka je postavená na tom istom princípe ako u Tatra banky. Obsahuje jedinú vec a to formulár, ktorý má od klienta vylákať prístupové údaje do elektronického bankovníctva. Po odoslaní formulára sa stránka presmeruje na originálnu stránku banky. Odkazy na podvodnej stránke nefungujú okrem prepnutia do maďarského a anglického jazyka.

URL podvodnej stránky: http://mesothelioma-symptoms.com/guruupdate2015/OTPdirekt-internet%20banking-sk.htm

OTP phishing

Na záver

Útočník rád útočí plošne na čo najviac klientov na čo najviac bánk. Keď je napadnutá jedna banka, dá sa očakávať, že nie je jediná. Pre banky tak má zmysel hľadať spoločnú obranu a stratégiu, ako sa brániť proti podvodníkom.

Aby útočníka nebolo ľahké vystopovať, využíva nechránené cudzie weby, kde sa nachádzajú podvodné stránky simulujúce prihlasovacie stránky internetových bankovníctiev.

Čo Ty na to?