Ve středu 1.6.2011 se do českých e-mailových schránek dostal další z řady phishingových pokusů o podvodné vylákání přístupových údajů. Podvodníci si v poslední době oblíbili ING Bank, protože jde o další z jejich pokusů na tuto banku.
ING Bank v České republice nabízí pouze spořicí účet. Pro přístup do internetového bankovnictví pak používá pouze uživatelské jméno, heslo a PIN. Po zadání těchto údajů obratem vstoupíte na účet, následně už není vyžadována žádná autorizace ani potvrzení. V dnešní době nejde o bezpečný způsob, jak ovládat svůj účet přes internet, a ING Bank si je toho vědoma. Proto peníze z účtu můžete převádět pouze na 3 předdefinované transakční účty, které jste museli písemně nahlásit a potvrdit. Takže když se někdo dostane na vaše ING Konto, může si jen prohlížet vaši historii, ale nemůže peníze převádět.
Cenné osobní údaje
Nemožnost převést peníze z ING konta je jen malou nevýhodou. Útočníci případným úspěšným přihlášením získají detailní informace o stavu účtu, pohybech a všech investicích majitele, pakliže s ING Bankou také investuje. Navíc získají kontakty a adresu jeho bydliště. Jako bonus čísla dokladů a mobilního čísla pro autorizační SMS při nákupu podílových fondů, jednoduše kompletní informace na dlani. Nemůžete tušit, jak s nimi kdo naloží. Nehledě na to, že o změnu některých údajů lze banku požádat právě přes internetové bankovnictví.
Co všechno může o vás útočník zjistit
Změna transakčních účtů je komplikovaná, ale ne nemožná
Proto, aby útočník mohl změnit vaše transakční účty a peníze z ING konta převádět, potřebuje vaše osobní údaje a podpisový vzor. Údaje už získal, s podpisem to nebude tak snadné a nepředpokládám, že by si dal tu práci a začal vás fyzicky sledovat a zkoumat, kde jste se podepsali. Navíc, podpisový vzor může být (a měl by být) odlišný od vašeho běžného podpisu. Ovšem pokud si dá někdo tu práci, získá vzor vašeho (jakéhokoli) podpisu a jednoduše to riskne, může mu to vyjít. Pravděpodobnost úspěchu je sice blízká nule, ale ne nemožná. Nenechte si ujít: Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák?
Španělsko-polský phishing
Už poslední phishingový pokus na klienty České spořitelny vedl do Polska a v případě ING Bank tomu není jinak. Možná právě proto, že ING Bank v Polsku patří mezi silné retailové banky a slovanské jazyky jsou si blízké co do pochopení i komunikace, mohou stát za tímto podvodným pokusem Poláci. Jde však jen o moji spekulaci, nikoli fakt. Psali jsme: Phishing a rhybaření: Chytněte si českou bankovní rybičku.
Je minimální šance, že by vám peníze z ING Konta tímto způsobem někdo vybral. Buď jde o test úspěšnosti takto rozeslaného phishingu, anebo jsou cílem osobní údaje, které lze po přihlášené do internetového bankovnictví ING Bank snadno dohledat.
Obrana je jednoduchá: na podobné e-maily nereagovat a neodpovídat, protože žádná česká banka podobné e-maily nikdy nezasílá, a do internetového bankovnictví se přihlašovat přímo z webu banky.
Galerie
Podvodný e-mail cílený na klienty ING Bank
Hlavička podvodného e-mailu
Po najetí myši na skrytý odkaz jej uvidíte v plné kráse, ale na web ING Bank nevede
Podvodný web vydávající se za českou ING Bank. Servery jsou v Německu, doména je polská. Směrování jde přes Španělsko přes web http://212.4.98.91/ib4/index.html?https://www.ingkonto.cz/ib4/welcome.do?lang=cz
Po vyplnění údajů na podvodném webu se objeví toto chybové hlášení…
… a poté vás přesměruje na skutečné oficiální stránky české pobočky ING Bank
Původní hlavička e-mailu
Return-Path: <info@ingkonto.cz>
X-Envelope-To: redakce@mesec.cz
X-Spam-Status: Yes, hits=8.6 required=4.7tests=BAYES50: 1.567,FORGED_MUA_OUTLOOK: 3.116,FORGED_OUTLOOK_HTML: 0.001,HTML_IMAGE_ONLY24: 1.552,HTML_MESSAGE: 0.001,MIME_HTML_ONLY: 0.001,MSOE_MID_WRONG_CASE: 0.82,NORMAL_HTTP_TO_IP: 0.001,RDNS_NONE: 0,SUBJECT_NEEDS_ENCODING: 0.001,SUBJ_ILLEGAL_CHARS: 1.586,TOTAL_SCORE: 8.646,autolearn=no
X-SPAM-FLAG: YES
X-Spam-Level: ********
Received: from mail.iinfo.cz ([213.151.94.131]) by stana.iinfo.cz (Kerio Connect 7.1.4) for redakce@mesec.cz; Wed, 1 Jun 2011 00:16:59 +0200
X-Greylist: delayed 377 seconds by postgrey-1.31 at pelikan; Wed, 01 Jun 2011 00:16:59 CEST
Received: from mail.shroomery.org (mail.shroomery.org [69.28.174.166]) by mail.iinfo.cz (Postfix) with ESMTP id 50D791801519 for <redakce@mesec.cz>; Wed, 1 Jun 2011 00:16:59 +0200 (CEST)
Received: from mail.shroomery.org (localhost [127.0.0.1]) by mail.shroomery.org (Postfix) with ESMTP id ECF03184086; Tue, 31 May 2011 16:10:36 –0600 (MDT)
Received: from mail.shroomery.org (localhost [127.0.0.1]) by mail.shroomery.org (Postfix) with ESMTP id 06A5018408A; Tue, 31 May 2011 16:10:36 –0600 (MDT)
Authentication-Results: mail.shroomery.org;
X-DKIM-Authentication-Results: none
X-SPAM-FLAG: YES
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008–06–10) on mail.shroomery.org
X-Spam-Level: ********
X-Spam-Status: Yes, score=8.7 required=5.0 tests=ALL_TRUSTED,BAYES80,FORGED_MUA_OUTLOOK,FORGED_OUTLOOK_HTML,HTML_IMAGE_ONLY24,HTML_MESSAGE,MIME_HTML_ONLY,MSOE_MID_WRONG_CASE,NORMAL_HTTP_TO_IP,SUBJECT_NEEDS_ENCODING,SUBJ_ILLEGAL_CHARS autolearn=no version=3.2.5
X-Spam-Report: * –1.8 ALL_TRUSTED Passed through trusted hosts only via SMTP* 1.6 SUBJ_ILLEGAL_CHARS Subject: has too many raw illegal characters* 0.0 NORMAL_HTTP_TO_IP URI: Uses a dotted-decimal IP address in URL* 1.6 HTML_IMAGE_ONLY24 BODY: HTML: images with 2000–2400 bytes of words* 0.0 HTML_MESSAGE BODY: HTML included in message* 2.0 BAYES80 BODY: Bayesian spam probability is 80 to 95%* [score: 0.8242]* 1.5 MIME_HTML_ONLY BODY: Message only has text/html MIME parts* 0.0 SUBJECT_NEEDS_ENCODING SUBJECT_NEEDS_ENCODING* 0.8 MSOE_MID_WRONG_CASE MSOE_MID_WRONG_CASE* 0.0 FORGED_OUTLOOK_HTML Outlook can't send HTML message only* 3.1 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
Received: from user (unknown [81.193.116.46]) by mail.shroomery.org (Postfix) with ESMTPA id 9FD4F184086; Tue, 31 May 2011 16:10:20 –0600 (MDT)
From: „ING Konto“ <info@ingkonto.cz>
X-Original-Subject: *SPAM* Vážený uživateli
Subject: =?iso-8859–2?Q?**SPAM**__*SPAM*_V=E1=3Fen=FD_u=3Fivateli?=
Date: Tue, 31 May 2011 23:12:31 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset=„iso-8859–2“
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <20110531221020.9FD4F184086@mail.shroomery.org>
To: „undisclosed-recipients:“
X-Spam-Prev-Subject: Vážený uživateli
