Rhybári lovia v Tatra banke

Andrej Probst, 16. jún 2015, Bezpečnosť, čítalo 2429 ľudí

Autor príspevku v posledných pár dňoch dostal niekoľko phishingových emailov upozorňujúcich klientov Tatra banky na vypršanie platnosti prístupu do elektronického bankovníctva. Zaujímavé je vidieť vývoj troch po sebe idúcich podvodných emailov.

Phishing je podvodná technika na internete, ktorá sa snaží od dôveryhodných ľudí získať citlivé prístupové údaje napríklad do elektronického bankovníctva cez napodobovanie originálnej služby. Často ide o emaily, ktoré sa tvária ako oficiálne emaily od banky vyzývajúce na zadanie citlivých prístupových údajov na podvodných stránkach, ktoré sa podobajú na originálne internetové stránky internetového bankovníctva. Treba hneď podotknúť, že finančné inštitúcie takto s klientami nikdy nekomunikujú a nikdy nebudú komunikovať.

Poďme sa teraz pozrieť podrobnejšie, ako také rhybárčenie na neopatrných klientov Tatra banky vyzeralo v tomto špecifickom prípade.

Prvý podvodný email

Prvý podvodný email prišiel 10. 6. 2015.

  • Odosielateľ: Tatra banka zona4@catastro.corrientes.gov.ar
  • Názov emailu: Vážený zákazníku
  • Obsah emailu:
Vážený zákazníku,

Chtěli bychom Vám zdůraznit, že přístup do Vašeho internetového bankovnictví již brzy vyprší.
Aby bylo možné i nadále využívat on-line bankovnictví, žádáme Vás o potvrzení svých údajů pomocí odkazu níže.

Pro aktualizaci svého on-line bankovního účtu klikněte zde [http/myoffice4u.com/sk/index.php]

Bankovní účet bude automaticky obnoven, poté Vás bude kontaktovat jeden z našich zaměstnanců.

S pozdravem,
Klára Pačesová,
Agentka zákaznického servisu.

Hneď si všimnete, že útočník urobil dve vážne chyby. Email je v češtine (a to v správnej češtine), ale Tatra banka je slovenská banka a dá sa predpokladať, že klienti budú rozumieť slovenčine. Druhá dôležitá vec je, že odkaz na podvodnú stránku je nefunkčný odkaz.

Druhý podvodný email

Útočník si uvedomil, že urobil chybu s nevalidným odkazom a nikoho takto neuloví. Preto v druhom emaile z 12. 6. opravil odkaz na podvodnú stránku na validnú.

  • Odosielateľ: Tatra banka 8bpmscmt@pm.sc.gov.br
  • Názov emailu: Vážený zákazníku
  • Obsah emailu:
Vážený zákazníku,

Chtěli bychom Vám zdůraznit, že přístup do Vašeho internetového bankovnictví již brzy vyprší.
Aby bylo možné i nadále využívat on-line bankovnictví, žádáme Vás o potvrzení svých údajů pomocí odkazu níže.

Pro aktualizaci svého on-line bankovního účtu klikněte zde [http://talleresanglada.com/tvd/public_html/index.php]

Bankovní účet bude automaticky obnoven, poté Vás bude kontaktovat jeden z našich zaměstnanců.

S pozdravem,
Klára Pačesová,
Agentka zákaznického servisu.

Odkaz je opravený, ale čeština zostala. Čo s tým útočník urobí?

Tretí podvodný email

Tretí email prišiel 15. 6. Útočník si uvedomil, že český text nezaberá na slovenských klientov. Vytvoril tretie znenie emailu. Slovenčina je v emaile dosť krkolomná, čo je typický znak phishingových emailov. Pravdepodobne nejde o strojový preklad, pretože niektoré slová sú mixom slovenčiny a češtiny. Stroj by použil len správne slová, alebo ponechal tie z pôvodného jazyka.

  • Odosielateľ: Tatra Banka teste.rapido@saobernardo.sp.gov.br
  • Názov emailu: Vážený zákazník
  • Obsah emailu:
Vážený zákazník

Dňa 15.06.2015 naše bezpečnostné internetové zabezpečení zjistil pokus o prihlásenie do vášho účtu, ktorý mátě vedený v našej Tatrabanke a to z nám neznámej IP. adresy v Ruskej federácii.

Prosím pre potvrdenie vašej informácie kliknete tu. [http://littlebirdboutique.co.uk/tr2/public_html/index.php]

buděte neodkladně kontaktovaný naším bezpečnostným pracovníkom, ktorý s vami provede nězbyzné kroky k vylepšení zabezpečení Vášho účtu. Zároveň vás chceme ubezpečit, že naše bezpečnostné oddělení detekovalo hrozbu včas, a preto sa nemusítě obávať straty či zneužití vašich finančných prostriedkov.

Ďakujeme za pochopenie a těšíme sa na vašu buduců spolupráciu.

Michal Liday
Vaša Tatrabanka

Dočkáme sa opravenej slovenčiny? Ako tak pozerám na odosielateľa emailu Teste Rapido = rýchly test, tak zrejme áno. Ak máte niekto novšiu verziu tohoto emailu, prepošlite mi ju prosím.

Veríme, že klienti Tatra banky budú opatrní a tieto podvodné email zmažú. Ak by sa tak nestalo a niekto by klikol na podvodný odkaz, môže ho zachrániť nainštalovaný antivírový program, ktorý vie upozorniť na škodlivú internetovú stránku.

A viete prečo phishingové emaily majú krkolomné texty? Zlé jazyky tvrdia, že je to filter na neopatrných ľudí. Ak je človek ochotný akceptovať text v podvodnom emaile, bude pravdepodobnejšie pokračovať v neopatrnom správaní aj na podvodnej stránke a prezradí svoje citlivé údaje útočníkovi.

Ak sa ti tento článok páči, môžeš ho zdielať tu:

Čítaj ďalej...

Čo Ty na to?





Čo na to ostatní?

Miroslav Čermák, 19. jún 2015 10:50:21

Tuto kampaň na klienty Tatra banky bych v souladu s metodikou hodnocení závažnosti SPAM kampaní hodnotil opět jako nízkou. Ale ta poznámka ohledně Teste Rapido a zdůvodnění proč phishing e-maily obsahují chyby, mě zaujala. Super článek, jen tak dál.