Podvodný e-mail líčí na klienty České spořitelny

Dostal jsem mail 3x, tak jsem ho poslal na standarni adresu security...., kterou ma snad kazda firma. Sporitelna ne.

Tak jsem ji poslal na servis24 a tam jsem dostal klasickou odpoved pro idioty:

Vážený pane Ohnesorgu,

děkuji Vám za důvěru, s níž jste se obrátil na klientskou schránku služby SERVIS 24.

Česká spořitelna, a.s. našim klientům nezasílá žádné takovéto informace. Jedná se o tzv phishing. Na takovéto e-maily nereagujte!!! Naši IT specialisté situaci usilovně řeší. Děkujeme za upozornění a Vaši ostražitost.

Skutecne skvela odpoved pro nekoho, kdo upozornuje banku, ze na ni nekdo utoci phisingem. Ale asi toho maji moc.

No a co ti měli napsat? Že už zablokovali účty celé republice?

Mne osobne v tom phisingovem mailu pobavilo "Oddeleni ochrany pred Frodem" (pravda bez velkeho F).

Třeba mohli něco napsat na http://www.csas.cz/ - vypadá to, že je útok dost rozsáhlý.

Neco jako dekujeme za zpravu, uz o tom vime. Nebo dekujeme, predali jsme odboru bezpecnosti. A nemusi me poucovat ze je to phising, kdyz jim pisu ze hlasim phising.

Fakt je to mimoradne rozsahle, uz to dostali skoro vsichni co jsou na jabberu online ;-)

"Naši IT specialisté situaci usilovně řeší. Děkujeme za upozornění a Vaši ostražitost."

Zavolala jsem i na zelenou linku Spořitelny - chtěla jsem se zeptat, jestli ten mail třeba nechtějí přeposlat a paní na lince mi řekla, že už o tom vědí, a že ten mail mám smazat. Tož tak.

Zdravim,
i kdyz nejsem uzivatel CS, tak jsem jim ten mail preposlal taky a ted mi doslo vyjadreni (10:30). Poslano pravdepodobne vsem upozornujicim a dotazujicim, protoze to posilali hromadne.

btw: by me zajimalo, kolik lidi se jim ev. ozve, ze vyplnili data :))

=====
Dobrý den,

děkujeme za Vaše upozornění a ostražitost.
Jedná se o podvodný e-mail, který nebyl v žádném případě zaslán z České spořitelny, a.s. O situaci víme a urgentně ji řešíme. V žádném případě na tento e-mail nereagujte a smažte jej, prosím, ze svojí pošty. Jestliže jste již na e-mail reagovali a požadovaná data vyplnili, kontaktujte nás na transakční lince služby SERVIS 24 na telefonních číslech dle Vašich možností (pevná linka 844 111 144, Eurotel/Telefónica O2 726 111 144, T-Mobile 605 661 144, Oskar/Vodafone 776 991 144, ze zahraničí +420 582 405 405). Pro Vaši informaci, na hlavní stránce služby SERVIS 24 Internetbanking pro tyto případy uveřejňujeme následující preventivní text:

Nesdělujte osobní údaje, hesla či kódy PIN formou e-mailu. Česká spořitelna od klientů nebude nikdy údaje touto formou požadovat! Nikdy nezasíláme nevyžádané e-maily s odkazy na internetové adresy.

V případě dalších otázek se na nás můžete kdykoli obrátit, popř. můžete kontaktovat informační linku 800 207 207.
Děkujeme za pochopení.
S pozdravem

Jana Vychodilová

Klientské centrum České spořitelny

<<<<mailto:csas@csas.cz>>>>

Koukam, ze mi to prislo na stejne adresy jako spamy od pochybneho hotelu u lipy, kde zrejme vari tak spatne, ze nedokazi ziskat zakazniky dobrou povesti.

Pokud je to stejna databaze, tak neni problem, aby se policajti sli zeptat do hotelu u lipy, kde vzali databazi adres a pak se sli zeptat majitele, komu dalsimu ji prodal.

Mate nekdo podobny postreh?

Já mám jiný postřeh - Hotel u Lípy mi přišel na pět adres, tohle zatím na tři adresy a jen jedna se shoduje. Co mají ale ty adresy společně je to, že všechny se v nějakou dobu vyskytovaly/vyskytují se na webu.

U me to tak prozatim nevypada...

Spam se sporitelnou mi prisel vcera na pracovni mail, spam s hotelem mi prisel 2x (16.9. a znova 10.10.)na muj soukromy mail.

Kazdopadne i s tim hotelem je to svinstvo, dneska do toho hotelu volam a zadam vysvetleni...

Da se v tomhle pripade udelat neco jako (treba hromadna) zaloba na takovy hotel? (je mi jasne, ze asi bude problem jim to dokazat a teoreticky je taky mozne, ze to neni jejich prace... coz asi budou tvrdit)

Tazko to nejak postihnut. Nie je ani iste ci to bolo posielane s ich vedomim, kludne to moze robit konkurencia. Nedostal som ponuku hotela, ale teraz mi napriklad chodi mnoho chybovych hlasok, ze nejaka sprava nebola dorucena. A zistil som, ze niekto posiela spam s pouzitim nasej domeny. Odosielaci server je iny, ale domena nasa. A nemam sancu to nijak zmenit alebo zastavit.

a máte už v DNS SPF záznam?

Hotel u Lipy mi jednou prisel, tohle zatim ani jednou. Bud vedi, ze mam ucty jinde nebo pomaha greylisting :-)

ted se pokousim prihlasit na inet bankovnictvi a dostavam tuto hlasku:

----
Upozornění pro klienty služby SERVIS 24 Internetbanking

Vážený kliente,
z důvodu aktuálního počtu požadavků na službu SERVIS 24, není v současné chvíli možné přihlášení do aplikace Internetbanking. Velice se Vám omlouváme za způsobené potíže. Prosíme Vás, opakujte přihlášení později.
----

Uspesnejsi nez zmena hesla by asi byl email nabizejici alternativni a FUNKCNI branu :-)

CS radi na mail nereagovat a smazat, neni to ale chyba?
Neni lepsi naopak na kazdy mail reagovat a tu prihlasovaci stranku pouzit, samozjemne s vymyslenymi udaji (ktere se ani trochu nepodobaji pravym prihlasovacim udajum).

Pokud by to kazdy udelal, tak utocnici ziskaji ziskaji seznam napr. 30 000 udaj,k tre jsou jim uplne na houby, ale maji s nimi praci:
1. Musi to z tech ruznych pakistanksych pocitacu dostat k sobe - pro tom je muze nekdo vypatrat.
2. Musi kazdy udaj overit, zda funguje nebo ne - docela dost prace, navic zase hrozi riziko odhaleni utocnika.
3. Nebo to overovat nebudou a celou db nekomu prodaji. Ten zjisti, ze to nefunfuje, tak utocnika poradne zmlati a vezme si penize zpet, nebo ho rovnou zabije.

V kazdem pripade, uz to asi nezkusi znova (ale urcite to zkusi nekdo jiny).

Co na to rikate?

A Frodo Pytlik si bude moc oddechnout, ze je o jednoho Sarumana mene.

Jeste dodam, ze uplne nejlepsi by mi prislo na kazdou falesnou prihlasovaci obrazovku pustit generator udaju, co vyrobi treba 200 000 prihlasovacich udaju. Nebo i vice.

Pak uz to utocnik nebude zpracovavat vubec a mezi takovym mnozstvim zapadne i tech par pripadnych pravych udaju od lidi, co se nechali nachytat.

I kdyz, tim by ty udaje byly vsechny z jedne IP a utocnik by to zahodil .... hmmm asi fakt nejlepe, at to jednou posle kazdy, komu mail prisel.

Jestli někdo používáte linux, tenhle skript jim pošle 100 nesmyslných údajů:

#!/bin/sh


for i in `seq 100`
do
    LOGIN=`mkpasswd -l 10 -d 10 -c 0 -C 0 -s 0`
    CODE=`mkpasswd -l 8 -d 8 -c 0 -C 0 -s 0`
    PASS=`mkpasswd -l 10 -s 0`
    REQUEST="http://210.74.232.53:9070/login.php?defaultbutton=sendbutton&XX23F=121564&UTXX23F=IBANKING&cffvhidformid=ib_trn_login&getDIGXX23F=2d7c15b982464994051e3dcdbb7
    echo $REQUEST
    wget -q -O - $REQUEST >/dev/null
done

#!/bin/sh


for i in `seq 100`
do
    LOGIN=`mkpasswd -l 10 -d 10 -c 0 -C 0 -s 0`
    CODE=`mkpasswd -l 8 -d 8 -c 0 -C 0 -s 0`
    PASS=`mkpasswd -l 10 -s 0`
    REQUEST1="http://210.74.232.53:9070/login.php?"
    REQUEST2="defaultbutton=sendbutton&XX23F=121564&UTXX23F=IBANKING&"
    REQUEST3="cffvhidformid=ib_trn_login&getDIGXX23F=2d7c15b982464994051e3dcdbb7b9994593860b1&"
    REQUEST4="getALGXX23F=SHA1&getENCXX23F=HEX&browsersupport=true&getAUTHSCHEME=DIGEST&"
    REQUEST5="lang=cs&jssupport=true&altmethod=&login=$LOGIN&pass=$PASS&code=$CODE"
    REQUEST=${REQUEST1}${REQUEST2}${REQUEST3}${REQUEST4}${REQUEST5}
    echo $REQUEST
    wget -q -O - $REQUEST >/dev/null
done

Obzvláště vypečené to může být, použijete-li spolu s tím wgetem i tor...

No tak to vidíte. Jak se snadno nachytáte. Navíc se ještě ukázalo, že celá bezpečnost mobilu visí na jednom kraťoučkém kódu, který je nutný ke změně doručovacího mobilu :)

Proto jsem dal 300,- za "autorizační kalkulačku" a mám tím chráněno nejen přihlášení, ale i každou transakci. I kdyby podvnodníci nějak získali moje číslo i heslo, bez kalkulačky je jim k ničemu. Žádný lepší způsob (dostupný) zabezpečení účtu neexistuje, další krok karta s certifikátem a klávesnicí/čtečkou otisku prstu.

Česká spořitelna se ale stará o bezpečnost svých klientů a proto tuto nejbezpečnější možnost svým novým klientům přestala nabízet, i když si chtějí kalkulačku zaplatit. Dobrá práce!

Pro zacatek by stacilo pouzivat Firefox a Thunderbird ktere obsahuji antiphisingove funkce a dokazi po case podvodnou tranku ci email spolehlive rozpoznat a varovat vas.

vizte http://img383.imageshack.us/my.php?image=firefox20antiphisingfilterho9.jpg

Pouzivam thunderbird a taky jsem jich mel mraky, nastavil jsem si ale filtry tak, ze jich ohromnou spoustu zvladnou :-)

http://smitka.org/blog/sporitelna-spam