Jak rozmowa ze „znajomym” skończyła się kradzieżą! - Aktualizacja 25.11.2016

5 listopada pisałem o ataku na użytkowników Facebooka. 

Byli oni proszeni przez "znajomych" o wykonanie drobnej płatności, która tak naprawdę kończyła się utratą środków.
Atakujący przesyłał oszukiwanej osobie link prowadzący na stronę udającą "Przelewy24".
Sytuacja się powtarza. Poniżej kolejne strony phishingowe.

Warto przypomnieć (kolejny raz) podstawowe zasady bezpieczeństwa w czasie wykonywania transakcji!

Po pierwsze nie korzystamy z linków, które ktoś nam podaje np. w mailach i nie tylko. Jeżeli skorzystamy z takiego linku to powinniśmy się przyjrzeć czy strona jest bezpieczna i na pewno należy do instytucji, z której chcemy skorzystać.

Po drugie czytamy to, co dostajemy od banku w SMS-ach. Banki przesyłają nie tylko kod, ale również opis, do jakiej czynności jest ten kod, czyli co tak naprawdę trafiło do banku do realizacji. Nie czytanie takich informacji może skończyć się niestety utratą środków.     

Po trzecie warto sprawdzić w systemie, co tak naprawdę się zadziało w systemie bankowym? Jeżeli jest coś nie tak poprawić to w tym przypadku usunąć wpisy i zmienić hasło. Warto również skontaktować się z bankiem. 

Jak rozmowa ze „znajomym” skończyła się kradzieżą! - Aktualizacja

Udało się pozyskać strony www podszywające się pod  Przelewy24. 

Osoba atakująca prosi o podanie wszystkich danych potrzebnych do założenia wzorcowego przelewu lub zaufanego kontrahenta. Później wykonywana jest serie transakcji na zapisane dane. Transakcje te nie wymagają już dodatkowego zabezpieczenia przez bank np. przez kod przesłany SMS-em!

  

Warto przypomnieć podstawowe zasady bezpieczeństwa w czasie wykonywania transakcji

Po pierwsze nie korzystamy z linków, które ktoś nam podaje np. w mailach i nie tylko. Jeżeli skorzystamy z takiego linku to powinniśmy się przyjrzeć czy strona jest bezpieczna i na pewno należy do instytucji, z której chcemy skorzystać.

Po drugie czytamy to, co dostajemy od banku w SMS-ach. Banki przesyłają nie tylko kod, ale również opis, do jakiej czynności jest ten kod, czyli co tak naprawdę trafiło do banku do realizacji. Nie czytanie takich informacji może skończyć się niestety utratą środków.     

Po trzecie warto sprawdzić w systemie, co tak naprawdę się zadziało w systemie i jeżeli jest coś nie tak poprawić to w tym przypadku usunąć wpisy i zmienić hasło. Warto również skontaktować się z bankiem. 

Jak rozmowa ze „znajomym” skończyła się kradzieżą!

Niedawno miał miejsce ciekawy przypadek kradzieży środków z rachunku bankowego klienta gdzie osoba atakująca wykorzystała komunikator z jednego z portali społecznościowych.

W czasie korzystania z jednego z portali odzywa się do nas znajomy:

siemka  mam prosbe  potrzebuje zrobic przelew na mala  kwote a nie mam nic na koncie  dasz rade mi to zrobic? odeśle Ci z napiwkiem haha 

co za pytanie jak mogę nie udzielić pomocy znajomemu Podaj nr konta

dzieki wielkie  a w jakim banku masz konto to sprawdze czy jest tam na liście bo sie tam płaci przez p24

w eBanku

co miesiac tam płace bo kupuje tam kody na kanały tv a teraz mi braklo na koncie xD  wybiera sie tylko bank i sie loguje i przeważnie sie kilka minut czeka na kod sms z banku potwierdzający i tyle

ok to daje link do mojej płatności

na kod sms sie czeka kilka minut ale jak przyjdzie to od razu wpisz zeby nie wygasł

ok

link  http://sll-p24.abc.pl/payment/index.html

przez tą stronkę mam wejść na swoje konto bankowe?

jak wyskoczy ci juz strona "wpisz kod sms" to zostaw ta strone i czekaj na smsa i wpisz go od razu jak przyjdzie

właśnie czekam

i jak?  

nie przeszło, za późno SMS wpisałem.

to zrob jeszcze raz

robie

ok kolega mi teraz zrobi to nie musisz ale dzieki za chęci

Co tak naprawdę się stało?

Osoba, która się odezwała do nas podszywała się pod naszego znajomego. Najprawdopodobniej ktoś przejął użytkownika z hasłem. Podesłany link prowadził na fałszywą stronę tam klientka została poproszona o hasło i nazwę użytkownika do bankowości internetowej. Atakujący od razu zalogował się do bankowości tworząc tak zwanego zaufanego kontrahenta wymaga to podania kodu SMS. Na fałszywej stronie wyświetla się informacja o przelewie z prośba o kod, ale w SMS-ie idzie informacja, o że zapisujemy zaufanego dostawcę i kod właśnie tego dotyczy. Kod pobiera atakujący i zatwierdza kontrahenta. Teraz mając hasło i użytkownika oraz zapisanego kontrahenta atakujący może wykonywać transakcje bez wiedzy i konieczności potwierdzania przez kody SMS.

Jakie błędy zostały popełnione?

Po pierwsze skorzystano z linku, który prowadził na fałszywą stronę. Co prawda dostaliśmy to od znajomego, ale na tym właśnie polega phishing. Jeżeli skorzystamy z takiego linku to powinniśmy się przyjrzeć czy strona jest bezpieczna i na pewno należy do pośrednika płatności internetowych. Kolejny błąd, który popełniono to, że w tym przypadku bank wysłał kod SMS. Banki przesyłają nie tylko kod, ale również opis, do jakiej czynności jest ten kod, czyli co tak naprawdę trafiło do banku do realizacji. Nie czytanie takich informacji może skończyć się niestety utratą środków     

Kolejne maile z niebezpiecznym załącznikiem!

Tym razem załącznikiem jest java skrypt:

 ORDER-31146.js

SHA256: 94c9a2054abcef3b321cd4b9c614deabdd76686db1d81e7d9a567b2c11bc96ef 

Po jego uruchomieniu następuje połączenie z 

http://jetonlyseath.top/log.php?f=1.dat 

gdzie jest ściągany i uruchamiany program:

C:\Users\<użytkownik>\AppData\Local\Temp\q9x39gfmv.exe

SHA256: 23d2c279aaf12ffc212435306a896485ae7b75abe0d43deed2c09087682f481f  

Następnie program kontaktuje się z http://wjtqjleommc4z46i.xvstbw.bid/ w celu zaszyfrowania nam wybranych plików.

Jesteśmy proszeni o wybranie języka, w którym będziemy informowani

Zabezpieczenie za pomocą capchy przed automatyczną analizą   

Jesteśmy informowani o zaszyfrowaniu naszych plików

Jesteśmy informowani jak pozyskać program Cerber Decryptor

e-Mail z Ministerstwa Finansów?!

Uwaga na e-maile rozsyłane jakoby z Ministerstwa Finansów,. Informowani jesteśmy o ujawnieniu ukrytych naszych dochodów. W związku z tym będzie przeprowadzona kontrola podatkowa.

Do e-maila dołączony jest dokument. Plik 

PL09873551.zip MD5 151865a90643f826dc454bd0ac9c6947. 

Po rozpakowaniu mamy plik exe

PL09873551.exe MD5 fd3af781263b99d10449954206b03848.  

Plik na stronie virustotal.com jest rozpoznawany jako złośliwe. 40/54 programy antywirusowe potwierdza że mamy do czynienia z malware. 

Co robi to złośliwe oprogramowanie pokazuje kolejny zrzut ekranu

1. Dołączenie do harmonogramu zadań skryptu start.vbs

2. Dołączeniu do rejestru do klucza Run pliku exe jego nazwa oraz nazwa końcowego folderu może być rożna

3. W katalogu temp powstają pliki efekt działania keyloggera

Uwaga!!Trojan zwany Gozi ukierunkowany jest na klientów banków polski 

eFaktura z PGE?!

Dostałeś eFakturę z PGE? Uważaj to kolejny sposób na wyłudzenie od Ciebie środków?

Podczas próby pozyskania szczegółów faktury zostaniesz skierowany na jedną ze stron www.

Pobrany plik PGE_eFaktura.zip zawiera skrypt PGE_eFaktura.js, który instaluje program szyfrujący Twoje dane na dysku za pomocą Crypt0L0ckera.

Aby odzyskać swoje dane mamy zapłacić 1299 PLN, czyli przelać atakującemu 0,6465123 BTC!

Niestety brak rozsądku kosztuje, ale czy warto tyle zapłacić?

Po pól roku

Co zdarzyło się w tym okresie?

Trochę złośliwego oprogramowania w nowych wersjach i trochę phishingu.

Ale w kontekście klientów bankowości internetowej to nic wielkiego. 

Ale warto zwrócić uwagę na coraz więcej maili z załącznikami, które powodują szyfrowanie naszych danych. Jest to chyba obecnie największe utrapienie użytkowników internetu. 

I nowsza wersja Locky

Info o konieczności kupienia Locky Decryptora

Co zrobić żeby do tego nie doszło?

- Nie otwierać podejrzanych maili!

- Posiadać kopię ważnych dla nas danych :)

- Zachować zdrowy rozsądek ;)