Horvát szerveren az Ebay-csalók

Hétfőn reggel távolították el a horvát Globalnet.hr szervereiről azt a szkriptet, amelyre hamis reklámlevéllel irányították a felhasználókat. Ezek a spamek úgynevezett "phishing" emailek, amelyek szinte tökéletes álcájukkal elhitetik a felhasználóval, hogy például a bankjuk kér tőlük adatokat. A szerkesztőségünkbe eljuttatott email az Ebay aukciós oldalára hasonlító html-oldalt tartalmazott, és kiválóan szemléltette, miért nem szabad készpénznek venni az ellenőrizetlen forrásból származó linkeket.

Hétfőn megkíséreltük elérni a Globalnet.hr szolgáltatót, ahol a support visszahívást ígért, majd ennyiban maradt. A szerverről viszont egy órával később mindenestül eltávolították a dinamo.globalnet.hr teljes tartalmát. Nem sikerült megtudnunk, hogy a több éve létező oldalt csupán feltörte valaki, vagy a tulajdonosok végezték a jelszógyűjtést.

Gyakran bejön a trükk

Kutatásaink szerint hasonló, Ebay-ügyfeleket célzó phishingkampány párhuzamosan több helyről is fut. A tienyensilk.com (64.176.17.193) a hónap elején történt visszaélések miatt jelenleg nem érhető el. Hasonló jelszólopó emaileket gyakran küldenek a PayPal, illetve bankok nevében.

A Gartner nyári becslései szerint a phishing támadások 19 százaléka sikerrel járt, vagyis az elmúlt egy évben kereken tizenegymillió felnőtt amerikai állampolgár reagált a csalók leveleire. Ezen belül három százalékuk, vagyis 1,78 millió felhasználó adta ki gondolkozás nélkül bizalmas hozzáférési adatait.

Jelentkezz be, vagy véged

A mostani spam a hozzáférése felfüggesztésével fenyegette a felhasználót arra az esetre, ha 72 órán belül nem jelentkezik be az Ebay.com szerverére. Az aw-confirm@ebay.com feladóval érkező email tárgysorában bizonyos "csalással kapcsolatos nyomozásra" hívta fel a figyelmet. Ugyanakkor azt is jelezte, hogy a súlyos helyzet ellenére nem kér válaszlevelet.

Majdnem sikerült

A levélben a jelszólopó oldalon kívül az ebay.com (valódi) linkjére lehetett kattintani. A jelszót effektíve ellopni képes oldalt az eredeti ebayes változat tökéletes másaként igyekeztek létrehozni az ismeretlen elkövetők. A hibátlan összkép érdekében minden egyes segítő link az eredeti helyére mutatott, a képek is az ebay szerveréről töltődtek be.

Nincs nyoma a manipulának

A spam is rendkívül jól leplezte, hogy valójában hova irányítja a gyanútlanul kattintgató felhasználót. A https titkosítást ígérő "signin.ebay.com" kezdetű link valójában a horvát 213.149.32.211 IP-szám alatt tárolt, közel tökéletes másolatra vezetett.

A spamet Outlookban megnyitva semmi nyoma sem volt a manipulációnak, az állapotsor (Status bar) a link fölé vitt egérrel sem mutatott semmi gyanúsat. A kattintás nélkül több másodpercig ott tartott kurzor viszont előcsalta az idegen IP számot és a kifacsart URL-t.

Átírt címsor, kis hibákkal

A levelezőben linkre kattintva hagyományosan a Windows beépített böngészőjében, az Internet Explorerben (IE) nyílik meg az oldal. Viszont ezt a csalók úgy preparálták, hogy a valódi horvát cím helyett a böngésző beépített hibájából a signin.ebay.com jelenjen meg.

Az oldalt eltávolításáig több levelezővel és böngészővel is megnéztük. Az Mozilla Thunderbird és a Netscape levelezője az állapotsorban mutatta, hogy hova vezet valójában a link.

A böngészők közül a Netscape és a Firefox helyesen mutatta, hogy hol fut a csaló oldal. Explorerből találtunk olyat, ahol szellemképesen töltődött be a címsort átíró szöveg, máshol pedig félig lógott ki a neki szánt boxból.

A megjelenítés további hibája volt minden esetben, hogy hiányzott a biztonságos kapcsolat jele. A mit sem sejtő felhasználónak az utolsó utáni esélye akkor adódott a hamis bejelentkezőoldal leleplezésére, amikor a "Sign In" gombra kattintva elküldte az adatait. Ekkor ugyanis fél másodpercig az Explorer állapotsorában is felbukkant a gyanús idegen IP-szám.