Swedbank klienti saņem atkārtotu pikšķerēšanas uzbrukumu vilni

Kategorija: Datu drošība + Incidenti + Pikšķerēšana + Surogātpasts

Spiežot uz saites, kas atrodas zem vārdiem “Ludzu, ielogojieties sava profila”, interneta lietotājs nonāk vietnē, ko nevar atšķirt no īstās Swedbank interneta bankas – tā izskatās identiska tai, no kuras iepriekš maksāti ikdienas rēķini un pārbaudīts konta stāvoklis.

Pikšķerēšanas e-pasti izsūtīti 13. un 14. jūlijā no Jaunzēlandē (NZ) reģistrētiem IP apgabaliem:

Received: from User ([125.236.225.46]) by mta01.xtra.co.nz
Received: from laks ([210.54.249.233]) by mta02.xtra.co.nz
Received: from gsagga ([210.54.249.233]) by mta02.xtra.co.nz

Pikšķerēšanas e-pasti neiztur SPF pārbaudi, jo nenāk no Swedbank pasta serveriem, tāpēc spamfiltrs, kurš pārbauda SPF DNS ierakstus, pikšķerēšanas e-pastus atzīmē kā surogātpastu.

Vēstules saturs:

<a href=”http://www.fu-z.cn/install/style.htm”><img src=”http://www.sharingsys.com/lite/i/0dacc0648b33170d111c8c3b3b6bf117.png” border=”0″></a>

Nospiežot uz attēla tiek atvērta vietne, kas tiek izmantota pāradresācijai uz galamērķi:

http://www.sh-pingtan.com/info.htm [222.68.17.162] (CN)
http://www.fu-z.cn/install/style.htm [184.105.188.191] (US)

Galamērķis – viltota Swedbank internetbankas vietne:

http://swede-bank.com/ib.swedbank.lv/privat/ [98.139.135.21|98.139.135.22] (US)

Blakus atrodas arī pāradresētājs uz Anglijas bankas pikšķerēšanas vietni, kas izvietota tur pat, kur Swedbank pikšķerēšanas vietne:

http://www.fu-z.cn/install/install.htm [184.105.188.191] (US)
http://oricanstcouk.com/www.halifax-online.co.uk/ [98.139.135.21|98.139.135.22] (US)

Pikšķerēšanas uzbrukumā izmantotas, galvenokārt, adreses, kas iegūtas no Latvijas mājaslapās publicētajām e-pasta adresēm.

Viltotās mājaslapas serveris šobrīd vairs nav pieejams.

Avoti:
Swedbank Latvia: http://www.swedbank.lv/news/130711.php
TVNET: http://www.tvnet.lv/tehnologijas/internets/384675-ka_neatdot_savu_naudu_krapniekiem

Follow defenselv

2011-07-14  »  edgars