Кибератаки
Водещи материали

Масова фишинг атака от името на български банки

Сред засегнатите имена са Първа Инвестиционна Банка, Централна Кооперативна Банка и Д Банк

Как работи атаката? Вижте технически анализ тук.

Поредната масова фишинг атака от името на български банки се разразява през последните дни. Целта е позната – кражба на потребителски имена и пароли за електронно банкиране на потенциалните жертви.

Имейлът от атаката, използваща името на ПИБ
Имейлът от атаката, използваща името на ПИБ

Сред банките, от чието име се разпращат фалшиви писма, са Първа Инвестиционна Банка и Централна Кооперативна Банка.

Как действа атаката?

Мейлът от името на ЦБК
Мейлът от името на ЦБК

И двете атаки действат по познат сценарий – потребителите получават мейл, в който се съдържа фалшиво предупреждение за спиране на достъп до сметката на жертвата. В случая – от името на ПИБ се разпространява предупреждение за подозрителна активност в профила на потребителя, които са довели до блокиране на сметката. При ЦКБ посочената причина за ограничен достъп е необходимост от потвърждаване на данните в профила.

Вижте още: какво е фишинг. 

И в двата случая потребителите са пренасочвани към фалшиви страници, в които трябва да въведат потребителското име и паролата за достъп до електронното банкиране на съответната банка. Страниците са много близки копия на оригиналите, за да заблудят потенциалните жертви.

Навременна реакция

Фалшивото копие на сайата на ПИБ
Фалшивото копие на сайата на ПИБ

И двете банки предупреждават потребителите си за разразилата се атака. В официалните си позиции, те коментират, че не биха изпратили мейли, в които да искат допълнителна информация от потребителите си след клик на линк.

Не предоставяйте Ваши лични данни и информация, свързана с достъпа ви до интернет банкирането, вашата банкова сметка и карта. Паролите за достъп са конфиденциални и винаги са известни само и единствено на вас. Тази информация не е необходима на Банката и няма да бъде поискана от вас.
официална позиция на ПИБ

Как да се предпазим?

Поредната фишинг атака най-вероятно няма да е и последната.

Основното правило, което трябват да спазват потребителите в тази ситуация, е да действат с повишено внимание. Банката ви няма да поиска от вас да потвърдите информация в профила си просто така, с изпратен имейл. Сериозно действие като спиране на достъп до блокиране на сметката ви ще се случи след потвърждение за подозрителната активност от ваша страна, обикновено – след потвърждаване на това по телефонно обаждане.

Имейл, изпратен от името на Д Банк
Имейл, изпратен от името на Д Банк

Други основни съвети, които да спазвате:

  • Проверявайте адреса на изпращача – дори и домейнът да прилича на оригиналния, може в него да има заменена буква от латиница на кирилица (например, „а“ изгелжда по един и същи начин и в двете азбуки).
  • Не кликайте на линкове – при съмнение, просто влезте в сайта на банката, като сами въведете адреса му в полето на браузъра.
  • Дори и да не сте клиент на банката – съобщете ѝ за подозрителната активност, по този начин може да помогнете на други хора, които биха се хванали на кукчиката на атакуващите.

Още по темата фишинг

Откъде идва атаката?

Return-Path: <[email protected]>

Оттук става ясно, че съобщението няма нищо общо с ПИБ и идва от чуждестранен мейл сървър. Тъй като този атрибут също може да бъде подправен. Нека продължим да анализираме. Преглеждайки съобщението по-надолу, се натъкваме на следния ред.

Received: from pfadis-neckarau.de (pfadis-neckarau.de [188.40.49.183])

Той ни показва и IP адреса на сървъра от, който идва мейл съобщението. При проверка на отворените портове

25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.4.10
443/tcp open ssl/http Apache httpd 2.4.10

Става ясно, че върху този сървъра работи мейл сървър, както и уеб сървър, на който е хоствано уеб приложение. Връщайки се малко по-нагоре в нашия анализ, забелязваме че съобщението идва от потербител www-data. Читателите, които имат опит в администрацията на *nix базирани системи и хостваните на тях сървъри, знаят че това е потребителя, в контекста на който работи уеб сървъра.

Лендинг страница от името на Д Банк
Лендинг страница от името на Д Банк

Досещате ли се вече какъв е вектора на атака?

Нека анализираме още малко, за да разберем защо мейлите са минали Spam проверката на повечето Spam филтри.

При проверка на мейл сървъра в blacklist на основните доставчици.

https://mxtoolbox.com/SuperTool.aspx?action=mx:pfadis-neckarau.de&run=toolpage

Виждаме, че това е съвсем легитимен сървър, който минава „почти“ всички тестове и няма проблем да изпраща съобщения.

Но къде е проблемът?

Накратко, компрометирано уеб приложение в контекста на което, е получен достъп до уеб сървъра. Дали атакуващите имат shell достъп до самия сървър или използват компрометирана форма за разпространение на спам съобщение не е обект на нашия анализ.

При всички положения това е ярък пример колко опасно може да бъде едно не добре написано уеб приложение и какви вреди може да донесе потребителите както от страна на собственика на приложението, така и на останалите участници в интернет.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Покажи още
Back to top button