Fałszywe wiadomości wysyłane w imieniu Alior Banku

Fałszywe wiadomości wysyłane w imieniu Alior Banku08.06.2009 14:31
Fałszywe wiadomości wysyłane w imieniu Alior Banku
Źródło zdjęć: © heise-online.pl

Od piątku do skrzynek pocztowych polskich użytkowników Internetu przychodzi elektroniczna korespondencja, której nadawcą jest rzekomo dział bezpieczeństwa Alior Banku (bezpieczenstwa@alior.pl). W rzeczywistości przesyłki pochodzą z USA – ta odebrana przez nas z serwera firmy Zipcon w Seattle oferuje m.in. konta poczty elektronicznej.

288767889228642451
Źródło zdjęć: © Fragment fałszywej wiadomości (fot. heise-online.pl)

Zagrożenie

Fałszywe wiadomości próbują wprowadzić użytkowników w błąd i zwabić ich do domeny atakującego. Po kliknięciu odnośnika umieszczonego w e-mailu otwiera się witryna, która wyglądem przypomina stronę Alior Banku. Znajduje się na niej formularz, który służy do pozyskiwania informacji umożliwiających zalogowanie się do oryginalnego e-banku.

Spostrzegawczy użytkownicy zauważą jednak, że na stronie nie działa większość odnośników, a adres z paska nie rozpoczyna się schematem https:// wskazującym na szyfrowane połączenie i jest zupełnie inny niż adres banku.

Po kliknięciu odnośnika w przeglądarce otwiera się zawartość zlokalizowana pod http://www.webmasterworld.de/aliorbank.pl/hades/do/Login.php. Domena webmasterworld.de jest własnością osoby prywatnej zamieszkałej w Lipsku, natomiast adres typu Provider Aggregable należy do niemieckiej firmy Cronon AG z Regensburga. Niewykluczone, że właściciel domeny nie ma z atakiem nic wspólnego, lecz ktoś zdyskredytował jego serwer WWW.

288767889228904595
Źródło zdjęć: © Komunikat ostrzegawczy Safe Browsing API (fot. heise-online.pl)

Wygląda to na skierowany atak przygotowywany ręcznie, bez korzystania z sieci botów, tak jak to było w przypadku phishingu wymierzonego w Bank Zachodni WBK. Podobna do tamtego ataku jest natomiast treść wiadomości, równie niedbale przetłumaczona na język polski.

Ochrona

Od przedwczoraj fałszywa witryna została oznaczona jako niebezpieczna przez mechanizm Safe Browsing Google'a i przeglądarki korzystające z tego API wyświetlają odpowiedni komunikat ostrzegawczy. Użytkownicy powinni zawsze upewniać się, czy otwierana w przeglądarce strona jest tą, za którą się podaje, sprawdzając pasek adresu, pasek stanu i weryfikując dane zapisane w certyfikacie SSL.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (49)