Do skrzynek pocztowych polskich internautów trafiły ostatnio maile o treści:

Od: Peter Wong Shun Tung <[...]@[...].hk>
Odpowiedz do: peter[....]@yahoo.com.hk

Witam serdecznie,

Nazywam sie Peter Wong Shun Tung z Hang Seng Bank w Hongkongu i mam do Panstwa delikatna i poufna propozycje z Hong Kongu. Chcialbym zaproponowac relacje partnerskie ktore pomoga zmienic profil pewnych funduszy (22,500,000.00 EUR). Pozwolilem sobie skontaktowac sie z Panstwem, poniewaz nie mieszkaja Panstwo w Hong Kongu. Prosze miec na uwadze, ze cala sprawa musi zostac zakonczona przed uplywem dwoch tygodni. Oczekuje na odpowiedz, o ktora uprzejmie prosze. W nastepnej wiadomosci przekaze wiecej szczegolow o sobie i o prezentowanej przeze mnie propozycji.

Pozdrawiam,
Peter Wong Shun Tung.
peter[....]@yahoo.com.hk

List wysyłany jest z chińskich serwerów. Peter Wong Shun Tung jest w rzeczywistości prezesem banku HSBC. Trudno jednak spodziewać się, żeby z prywatnego konta na Yahoo zapraszał polskich internautów do zrobienia świetnego poufnego interesu. Oczywiście, maile te są próbą wyłudzenia pieniędzy, polegającą na zaangażowaniu odbiorcy w proces rzekomego zdobycia czy przekazania ogromnych funduszy, od których ma on otrzymać znaczący procent. W trakcie okazuje się, że należy uregulować wiele opłat manipulacyjnych, które naturalnie mają zostać później zwrócone z nawiązką.

Wyłudzenia tego typu nie są niczym nowym. Są znane od wielu lat jako “przekręt nigeryjski” (od kraju, którego obywatele rozpowszechnili ten proceder), 419 scam (od numeru artykułu dotyczącego pozyskania cudzego majątku przez oszustwo w nigeryjskim kodeksie karnym) lub z angielskiego “advance-fee fraud”. Procederem tym wielokrotnie trudniły się także zorganizowane grupy przestępcze, głównie z krajów afrykańskich. Należy więc być wyjątkowo ostrożnym w ewentualnych kontaktach z przestępcami. Znane są bowiem przypadki uprowadzeń dla okupu oraz zniknięć bez śladu osób, które próbowały prowadzić grę z przestępcami.

Nowością jest pojawienie się tego rodzaju listów pisanych niemal bezbłędną polszczyzną. Z pewnością w tworzeniu treści brała udział osoba polskojęzyczna. Być może korzystano z “wynajętego” tłumacza, a może doszło do połączenia sił różnych organizacji przestępczych?

W każdym razie, stanowczo zalecamy nie odpowiadanie na podobne emaile niezależnie od proponowanej kwoty wynagrodzenia i języka, w którym list jest napisany.

1. W jaki sposób phishing znalazł się na Twoim komputerze (dla początkujących).
2. Jak rozpoznać phishing (dla początkujących).
3. Jak się ustrzec przed phishingiem (dla początkujących).
4. Analiza uploadu złośliwego oprogramowania do maszyny ofiary.

 
Ad 1. W jaki sposób phishing znalazł się na Twoim komputerze ?

Jak więc wygląda współczesny phishing i skąd się spodziewać ataku?
Zacznę od stwierdzenia, że użyte powyżej sformułowanie “namawiania ofiary” w przypadku ostatnio obserwowanych phishingów nie oddaje istoty zjawiska. Cały mechanizm bazuje na złośliwym oprogramowaniu instalowanym na komputerze ofiary (oczywiście bez jej wiedzy). Infekcja następuje zazwyczaj po odwiedzeniu strony WWW. W tym momencie zapewne pojawia się pytanie, jak ofiara trafia na taką stronę i co to są za strony ? Przestępca nie próbuje wskazać adresu ofierze. Stara się za to dopisać złośliwy kod do jak największej liczby witryn. Oczywiście najlepiej gdyby była to popularna strona, odwiedzana przez dużą liczbę użytkowników (patrz nasz wcześniejszy artykuł Zagrożenie na www.pajacyk.pl – jednak malware, a nie reklama).

Mechanizm infekcji i podszywania się pod bank.
Jak wspomniałem, do kodu strony WWW zostaje dopisane “coś złośliwego”. Jest to zazwyczaj zaciemniony skrypt JavaScript. Z punktu widzenia użytkownika jest on niewidoczny. W przeglądarce nie pojawiają sią żadne dodatkowe obrazy czy tekst. Jednym słowem wszystko wydaje się być w porządku. W tle natomiast skrypt sprawdza kilka najpopularniejszych dziur np. w Internecie Explorerze, Firefoksie, Operze, Adobe Readerze czy kontrolkach ActiveX. Jeśli takową znajdzie, następuje załadowanie i uruchomienie za jej pośrednictwem złośliwego oprogramowania. Jest ono zazwyczaj ściągane z serwera zewnętrznego, bardzo często znajdującego się w Chinach czy Rosji. W następnej fazie złośliwe oprogramowanie ukrywa się w systemie i zaczyna nasłuchiwać połączeń do dedykowanych banków. Klient odwiedza stronę banku, podaje swój identyfikator i hasło do konta bankowego… Do tego momentu wszystko odbywa się prawidłowo. Jednak po kliknięciu w klawisz “zaloguj” pojawia się fałszywa strona z prośbą o podanie kilku kolejnych kodów jednorazowych. Po podaniu danych, są one wysyłane na serwer kontrolowany przez przestępcę. Ofierze zostaje zwrócona strona z komunikatem o niepoprawnym logowaniu.
Istnieje również wariant, w którym wyłudza się kody jednorazowe wysyłane za pośrednictwem sms’a (na razie wykorzystywany na niewielką skalę). Oszustwo odbywa się podczas dokonywania transakcji. Ofiara wykonuje zdefiniowany przez siebie przelew, dochodzi do momentu kiedy prosi bank o przesłanie kodu sms’owego i tutaj złośliwe oprogramowanie przejmuje prośbę, uzupełnia ją swoimi danymi i wysyła do banku. Ofiara dostaje smsa, w którym jest potwierdzenie transakcji dokonanej przez przestępcę. Jeśli nie zwróci uwagi na jego treść potwierdzi nie swoją operacje.

(more…)

Sorry, but this post is not available in English

Sorry, but this post is not available in English

Sorry, but this post is not available in English

Sorry, but this post is not available in English

Sorry, but this post is not available in English