Wczoraj w skrzynkach wielu użytkowników w Polsce pojawiły się fałszywe maile od Lukas Banku, powiadamiające o rzekomym ograniczeniu dostępu lub funkcjonalności konta. Służą tylko i jedynie wyciągnięciu od nas poufnych informacji, potrzebnych aby nas okraść.
Wczoraj w skrzynkach wielu użytkowników w Polsce pojawiły się fałszywe maile od Lukas Banku, powiadamiające o rzekomym ograniczeniu dostępu lub funkcjonalności konta. Służą tylko i jedynie wyciągnięciu od nas poufnych informacji, potrzebnych aby nas okraść.
W trakcie analizy zebranych dowodów odnieśliśmy wrażenie, że ten atak phishingowy został przygotowany nieco niechlujnie, jak gdyby stronę i maila przygotowano w pośpiechu. Być może pewnym wyjaśnieniem jest fakt, iż na prawdziwej stronie banku znajduje się informacja o przerwie modernizacyjnej banku przewidzianej na poniedziałek 15 lutego.
Sygnałem ostrzegawczym powinno być już to, że polski bank pisze do polskiego klienta po angielsku, po drugie, jako adresat maila występuje cxvnhf@orange.fr, zaś po trzecie sam adres linka, który rzekomo kieruje nas na stronę z loginem. Trudno uwierzyć aby strona bankowa znajdowała się pod adresem http://mail.excelfrt.com/icons/a/bb.html w katalogu /icons - i miała nazwę bb.html...
Jeśli zajrzymy do źródła maila również nie znajdziemy w nim adresu serwera poczty polskiego banku – jak się okazuje mail przywędrował do nas rzeczywiście z Francji, wykonując tam co najmniej dwa skoki po serwerach wanadoo.net i orange.fr .
Co więcej w źródle strony możemy się także dopatrzyć – iż obrazek z logo banku znajduje się w dość dziwnej lokalizacji http://i48.tinypic.com/1he4a1.png, czyli w darmowym serwisie przechowującym pliki graficzne TinyPic.
Jeśli klikniemy na fałszywy link zostaniemy przekierowania na stronę o adresie http://www.sinnsofattraction.com/images/Login/ - no doprawdy, nazwa strony jest… bardzo bankowa, prawda?
Po wpisaniu danych (jakichkolwiek - ich poprawność nie jest sprawdzana) do formularza na stronie dane te lądują w pliku .php znajdującym się na tym samym serwerze – widać to na zrzutach:
Po podaniu loginu i hasła zostajemy przeniesieni na dalszą część strony phishingowej. Ta strona wykonana jest już zdecydowanie bardziej niechlujnie: brakuje polskich literek, i nie działają żadne linki – wszystkie prowadzą nas w kółko na te samą stronę.
Wszelkie dane, które wprowadzimy do formatki na tej stronie trafiają de facto na kolejną stronę:
Cybernapastnicy dostali właśnie od nas następujące dane: numer karty kredytowej którą podaliśmy w formatce, numer weryfikacyjny z tylu karty, nasze imię i nazwisko, PIN. Nic dodać nic ująć. A kiedy już podamy nasze dane – zostajemy przeniesieni na stronę dziękującą za wylogowanie z banku. Tym razem prawdziwą.
Infolinia Lukas Banku potwierdziła nam, iż pierwsze zgłoszenia o fałszywym mailu otrzymali około godziny 16. Po podjęciu stosownych działań przez bank oraz policję, fałszywa strona bankowa została zablokowana przez Google o 19.30.
Powyższy materiał pochodzi ze strony infoProf. Publikujemy go za zgodą administracji serwisu, ponieważ pokazuje kilka charakterystycznych cech maili wysyłanych przez cyberprzestępców. Mamy nadzieję, że ułatwi wam nieco rozpoznanie, który mail pochodzi z banku, a który od przestępców.
Źródło: infoProf - K. Wal, P. Wal
