[Frissítve] Célzott támadás alatt a magyar netezők

2019.07.27. 13:45

Nyeremény ígéretével próbálnak kártyaadatokat kicsalni. Senki se adjon meg rajta semmiféle információt!

Sajnos időnként előfordul, hogy a netes bűnözőknek a reklámkiszolgáló szolgáltatásokon keresztül sikerül támadó kódokat csempészniük a népszerű webhelyekre. Ettől függetlenül alaposan meglepődtünk szombat dél környékén, mikor egy közismert és megbízható amerikai techoldal egyik hírét olvasgatva váratlanul betöltődött egy csaló webhely, miszerint nyertünk valamit a UPC-től. Az adott számítógépen a UPC kábelnete biztosítja az internetelérést, ezt az IP-cím alapján találta ki a csaló webhely.

Egy amerikai techoldal egyik hírének az olvasása közben újratöltődött a böngészőfül, és ez jött be a hír helyettForrás: Origo

Mint az illusztrációs képen is látható, a tipikus adathalász webhelyekhez képest jó magyarságú szöveget tartalmazó weblap visszaélt a UPC nevével, logójával, továbbá a márka által használt színnel.

A nyilvánvaló adathalászat persze felkeltette az érdeklődésünket, így belementünk a játékba. Néhány egyszerű kérdés megválaszolása után ki kellett választanunk a weblapon egy „nyereményt", majd regisztrálnunk kellett egy e-mail-címmel és jelszóval, végül pedig egy kártyaadatokat kérő oldal jelent meg.

Ez adathalászat: semmit sem lehet nyerni a webhelyen, így senki se adjon meg rajta semmiféle információt.

Első lépésben a csalók arra számítanak, hogy a kapott e-mail-cím és jelszó párossal be tudnak majd lépni az áldozatuk e-mail-fiókjába, vagy a közösségi médiás (itthon tipikusan facebookos) fiókjába. Ezért kell „regisztrálni" a csaló webhelyen: jól tudják a bűnözők, hogy az emberek többsége ugyanazt a jelszót használja szinte mindenhol az interneten.

Itt már az e-mail-cím és a jelszó átadása után járunk, most épp a kártyaadatainkra pályáznak az adathalászokForrás: Origo

Akitől sikerült e-mailt és jelszót kicsalni, az azonnal változtassa meg minden olyan webhelyen a jelszavát, amelyeken a csalóknak átadott jelszót használja, még mielőtt kizárnák az e-mail-fiókjából, vagy a facebookos fiókjából.

Aki pedig a bankkártyája adatait is átadta, az most rögtön hívja fel a bankját, és tiltassa le a kártyát, hiszen előbb vagy utóbb, de pénzt próbálnak majd leemelni a bankszámlájáról!

Amennyiben valakinél váratlanul betöltődik egy ilyen „nyereményes" oldal, az semmilyen információt ne adjon meg rajta. Nem tudtuk megerősíteni, de könnyen elképzelhető, hogy nem csak a UPC-t, hanem más magyar netszolgáltatót is megszemélyesítenek a csalók.

Így aki mondjuk a Telekom ügyfele, annál telekomos logóval, szöveggel és színekkel jelenhet meg az általunk látott, csaló webhely.

Egyelőre nem világos, hogy melyik reklámkiszolgálón keresztül töltődnek be az adathalász webhelyre átirányító kódok, de megpróbáltuk felvenni a kapcsolatot a kérdéses publikációval a csalás kapcsán.

Frissítés (14:51): már körülbelül egy órája nem tudjuk reprodukálni a jelenséget, de nem világos, hogy miért. A potenciálisan legjobb eset az, hogy a reklámkiszolgáló észrevette a problémát, és törölte a rosszindulatú hirdetést a rendszeréből, de ez nem biztos.

Frissítés #2 (16:28): nem érhető el az eddigi linken az adathalász webhely.

Frissítés #3 (16:54): egyik olvasónk jelezte, hogy látott már ilyen adathalász webhelyet, de az esetében a Digit személyesítették meg a csalók, noha nem a cég ügyfele.

Frissítés #4 (július 28., 9:55): újabb olvasónk jelezte, hogy tegnap és ma is találkozott a csalással, őt a Tarr Kft. nevében próbálták csőbe húzni.

A UPC és a Digi mellett a Tarr Kft. nevében is folyik a csalásForrás: Olvasónk

Frissítés #5 (július 28., 17:12): vasárnap délután újból találkoztunk az adathalász webhelyre irányító hirdetéssel, méghozzá az egyik legismertebb, angol nyelvű szlengszavakat gyűjtő oldalon. Ezúttal sikerült jobban szemrevételeznünk: a Hertz autókölcsönző spanyolországi weblapját reklámozza, rákattintás esetén a megfelelő weblapra visz. Viszont rendkívül valószínűtlen, hogy a kérdéses cég egyik munkatársa adta volna fel.

A hirdetésben lévő, ártalmas kód a Google Chrome böngészőben nem tudja végrehajtani az átirányítást, viszont a Mozilla Firefoxban és az Edge-ben biztosan működik.

A weblapból ki tudtuk nyerni a reklám közvetlen linkjét, ezt a böngészőben betöltve minden további nélkül megjelenik a hirdetés, és persze a rosszindulatú átirányítást is megkísérli elvégezni. A hirdetést a jelek szerint az Oath – korábban Yahoo – hirdetési rendszerén keresztül futtatják (a yimg.com domainről), azonban nem tudtuk jelenteni a cégnek a reklámot, sehol sem találtunk erre lehetőséget.

Ez a hirdetés irányítja át a magyar netezők böngészőit az adathalász webhelyre. A Chrome egyik biztonsági funkciója megakadályozza az átirányítást, de a Firefoxban és az Edge-ben működikForrás: Origo

Helyette a linket jobb híján jelentettük a Google adathalászatot folytató weblapok bejelentésére kitalált űrlapján keresztül, az USA adathalász webhelyek jelentésére kitalált portálján, továbbá a Nemzeti Média- és Hírközlési Hatóságnak. Remélhetően valamelyik fél tudja, hogyan lehet elérni az illetékest, négy órányi szenvedés után kifogytunk az ötletekből.

Teljességgel abszurd, hogy a legnagyobb internetes hirdetőcégek egyikének nem lehet jelenteni a reklámkiszolgáló rendszerén keresztül folyó adathalászatot.

Frissítés #6 (július 28., 19:36): újabb kísérletet tettünk a hirdetést kiszolgáló Oath-tal való kapcsolatfelvételre, továbbá bejelentést tettünk az adathalászítról a támadásban használt webcímeket bejegyzett domainregisztrátoroknál.

Frissítés #7 (július 29., 13:18): a UPC hivatalos tájékoztatást adott ki az adathalászat kapcsán.

TOVÁBBI CIKKEK A ROVATBÓL

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!