Фішинг атака на Приват24

22:33 11.03.2011

Нещодавно, 09.03.2011, я виявив фішинг атаку на клієнтів ПриватБанку - на користувачів Приват24. В той день я отримав два однакових фішерських листи (на два моїх емайли) з темою “PrivatBank: New security notification” стосовно змін в системі Приват24 і рекомендацією терміново відвідати власний акаунт П24 (що є типовою схемою для фішинга).

Зазначу, що сам я не користуюся Приват24, але фішинг листи все ж таки отримав :-) . Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я іноді взаємодіяв з цією системою.

Обидва листи були відправлені з серверів англійського хостинг-провайдера uk2.net. В обох листах використовувалось ідентичне шахрайське повідомлення, що вело на фішерський сайт для крадіжки облікових даних користувачів П24. Відправка фішінг-листів відбувалась через Perl-скрипт.

Сам фішинг сайт розміщувався на сайті www.abc-centraltaxis.com, що також хоститься у цього ж провайдера (в одній з папок сайта - http://www.abc-centraltaxis.com/login.privatbank.ua/). Вірогідно даний сайт був взломаний для проведення фішинг атаки на користувачів П24. Зараз фішерських сторінок (всієї папки login.privatbank.ua) вже немає на даному сайті.

Це поширений підхід, коли фішери розміщують свої фішерськи веб-сторінки на існуючих сайтах (що вони взломали). В Уанеті такі випадки також регулярно трапляються, про що я знаю зокрема з розповідей людей, які звертаються до мене за аудитом безпеки.


10 відповідей на “Фішинг атака на Приват24”

  1. ПриватБанк каже:

    И шо? :? :

    Я бы очень попросил не портить имидж ПриватБанка своими постами про всякую херню. Пользователи приват24 достаточно грамотные люди чтобы понимать то, что вводить свои логин и пароль на сторонних сайтах не следует. Кроме того даже если эти псевдо-фишеры получат логин + пароль, они не смогу ничего с этим сделать. Банковские счета клинетов надеждо охраняются специалистами отдела безопастности, и самое главное без OTP-пароля невозможно войти в аккаунт и вообще совершить любое рисковое действие.

  2. MustLive каже:

    Дорогой мой (представитель ты ПриватБанка, или просто его поклонник).

    Если ты чего-то не понимаешь (в частности рисков от фишинг атак), то это твои проблемы, и я пишу о таких вещах, чтобы все пользователи Сети знали о них и понимали их. Или если тебе всё равно, проводятся ли подобные атаки на какие-либо банки (в частности ПБ), то это твои проблемы. Мне не всё равно, поэтому я и ПБ уведомил об этом, и читателей своего сайта.

    С чего ты взял, что я порчу имидж ПриватБанка этим постом. Я предупреждаю пользователей Приват24, что на них проводится фишинг атака - и это не первая и не последняя атака на пользователей П24. И раз подобные фишинг атаки проводятся - это значит, что такая система достаточно популярна и у неё достаточно пользователей (раз фишеры рассчитывают на успех). Так что фишинг атаки на пользователей банка следует рассматривать как индикатор популярности этого банка.

    Пользователи приват24 достаточно грамотные люди

    Не следует преувеличивать грамотность интернет-пользователей. Как большинство пользователей Сети, так это относится и к пользователям П24, недостаточно грамотны в вопросах безопасности (в частности фишинга). И поэтому кто-то может попасться, особенно если хорошо подделан сайт.

    О подобной ситуации свидетельствуют ежегодные отчёты об убытках от фишинг атак в мире (в том числе от банковского фишинга). И все пользователи всех банков думают, что они достаточно грамотные, чтобы распознать мошенничество, но убытки от фишинга в Сети растут ежегодно во всём мире :-) .

    Для защиты от фишинг атак пользователи (в особенности те, что считают себя продвинутыми) используют новые браузеры с функциями защиты от таких атак. А этот сайт не был занесён в подобные базы (что я сразу же проверил). Поэтому невнимательные пользователи, которые излишне полагаются на защиту браузера, могли бы попасться.

    без OTP-пароля невозможно войти в аккаунт и вообще совершить любое рисковое действие.

    OTP-пароль воруется точно также как и логин и пароль ;-) . И помимо воровства OTP через фишинг атаки и “заимствования” телефона, также, как я недавно писал, уже появились и соответствующие трояны, ворующие OTP с телефонов.

  3. ПриватБанк каже:

    Если ты сможешь перехватить OTP пароль банк заплатит тебе.

    Ps https://spreadsheets.google.com/viewform?hl=uk&formkey=dDA0WmJoakF6MVU1ZUkxdWltMWo0Y3c6MQ&ndplr=1#gid=0

  4. MustLive каже:

    Если ты сможешь перехватить OTP пароль банк заплатит тебе.

    Это в высшей степени несерьёзное заявление ПБ. Оно звучит в стиле предложения фишерам - атакуйте наших клиентов, взломайте их счета и мы вам ещё и заплатим за это :-) . Надо не допускать ни атак направленных на захват OTP, ни любых других проблем с безопасностью на своих банковских сайтах (чего Приват никогда не делал и лишь забивал на безопасность, о чём я пишу у себя на сайте уже более 3 лет), а не фишеров и злоумышленников агитировать атаковать своих клиентов подобными заявлениями.

    О том как перехватить ПриватБанковские OTP показал Андрей Терещенко в своём примере псевдо-фишерского сайта для демонстрации атаки на LiqPAY. Пример там был достаточно простой и показательный. И что ему сделал в ответ ПБ - сказал спасибо и выплатил вознаграждение? Совсем нет, ПБ подал на него жалобу в милицию за этот сайт, который показывал Привату легкость перехвата его OTP. Так что подходы Привата хорошо известны ;-) .

  5. MustLive каже:

    З вчорашнього дня знову активізувалися фішери - так вже вони полюбляють проводити фішинг атаки на клієнтів ПриватБанка :-) . І вчора я отримав два листи, а сьогодні ще один лист з фішинг атакою на Приват24.

    Вчора листи вели на фішинг сайт:
    d1121714.cp.blacknight.com/login.privatbank.ua

    А сьогодні на:
    janeohlmeyer.ie/login.privatbank.ua

    На обох зазначених доменах розміщений один і той же сайт, в папці login.privatbank.ua якого знаходяться файли з шахрайським інтерфейсом П24.

    Обидва фішинг сайти з підробленим інтерфейсом Приват24 зараз все ще працюють. Користувачам П24 варто бути обачними і не заходити на подібні сайти.

  6. Dementor каже:

    А хто сказав, що даний ОТР не можна перехопити?:-)))) А взагалі фішинг атака на ламера в більшості випадків, для цього самого ламера, закінчується плачевно.

  7. MustLive каже:

    Так, його неважко перехопити. Ще в лютому 2008 року в своїй презентації Інтернет безпека: сучасний стан та перспективи я показав як можна провести атаку на користувачів Приват24 з метою крадіжки їх реквізитів, включаючи OTP. Причому атака відбувається без використання фішерських сайтів, а безпосередньо на сайті ПБ.

    До речі, остання фішерська атака продовжилася ще 16 числа (всього я отримав 4 листи протягом 14.04 - 16.04).

  8. atrey каже:

    Те що в приваті проблеми були з безпекою це є для мене безаперечний факт. Бо я і є жертва глюків приват24 і вже декілька років маю розборки приватом. Після якого в мене склався висновок що банк забив на клієнтів і безпеку. Йому одне на меті відбити гроші лохів клієнтів за любу ціну, клієнт жертва халатності не розуміння та наживи банку. Якщо б я знав що це такий лохотрон то я би десятою дорогою оминав цей банк!

  9. MustLive каже:

    atrey

    Це твоя думка з приводу даного банку. Добре, що ти поділився власним досвідом роботи з ПриватБанком. Він стане в нагоді іншим людям, щоб вони могли зробити висновок про доцільність співпраці з цим банком.

    Наприклад, виходячи з власного досвіду - як з усіх дірок, що я виявив на сайтах ПБ, так і з досвіду роботи з LiqPAY та переведення в готівку чеків через ПБ (під час якого я неодноразово стикався з несерйозністю та непрофесійністю працівників даного банку) - я вже давно прийняв рішення ніколи не відкривати рахунків в цьому банку і не мати з ним справи. Але, наприклад, моя мати давно користується послугами ПБ і не мала з ним жодних проблем. Так що в різних людей різний досвід роботи з цим банком.

  10. MustLive каже:

    Сьогодні розпочалася нова фішинг атака на Приват 24 (від інших зловмисників). Приурочена до новорічних свят :-) .

    Як раз сьогодні отримав листа з фішинг атакою на Приват24. Підроблений сайт знаходиться в папці на одному сайті, з дуже схожим доменом (http://www.privat24-ua.com/logins/). Так вже фішери полюбляють проводити атаки на клієнтів ПриватБанка ;-) (при тому, що я не є клієнтом цього банку).

Leave a Reply

You must be logged in to post a comment.