VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 10 min 11 sek zpět

Exekuční příkaz pod drobnohledem

20 Červenec, 2014 - 22:49

Na blogu Avastu se objevil perfektní rozbor škodlivého kódu, který doprovázel kauzu s falešným exekučním příkazem, na který upozorňoval i portál viry.cz pár dní dozadu.Originál příspěvku na blogu Avastu lze najít tady. Dovolím si odtamtud vytáhnout jen ty nejzajímavější fakta.

Pokud někdo spustil EXE soubor, který se nacházel v příloze e-mailu s falešným exekučním příkazem, pak si zanesl do počítače další havěť (bankovního trojana) „Tinba“,  který byl na pozadí stažen z internetu, zatímco uživateli byl znovu zobrazen exekuční příkaz, tentokrát v textovém editoru (u předchozích útoků šlo o legitimní, avšak s útokem nesouvisející dokument o půjčce mezi krajem Vysočina a nemocnicí v Jihlavě). Jak zjistili v Avastu, „Tinba“ se v tomto případě soustředila na 4 české banky: Česká spořitelna, ČSOB, Era, Fio.

Pokud se uživatel ze zavirovaného počítače přihlásil do internetového bankovnictví jmenovaných bank, vystavil se riziku odcizení peněz útočníkem z účtu. Havěť v počítači se totiž postarala o to, že přihlašovací dialog na internetovém bankovnictví byl falešný, a tak odesílal zadané přístupové údaje útočníkovi a nikoliv bance. Uživatel měl přitom jenom minimální šanci poznat nějakou nekalost, neboť URL adresa v prohlížeči opravdu náležela dané bance a komunikace byla zabezpečena (HTTPS, symbol „zámku“). Tímto se útočník dostal k první dvojici identifikačních údajů nutných pro přístup k účtu (obvykle nějaké to klientské číslo + heslo).

Oficiální stránka banky, avšak s podvrženým přihlašovacím dialogem. Kdo se nepodívá do zdrojového HTML kódu a neprozkoumá javaskript, nemá šanci to poznat.

Pro úspěšném „vytunelování“ účtu je ale potřeba dostat se ještě k druhému „faktoru“ a tím je mobilní telefon, kam z banky chodí SMS zprávy, z nichž pak opisujeme číselný kód do bankovnictví na stolním počítači či notebooku a tím transakce (převody peněz, …) definitivně potvrzujeme. Odtud pojem „dvoufaktorová autentizace“. Zde si útočníci poradili tak, že po přihlášení do internetového bankovnictví nabádají uživatele ke stažení aplikace OTPdirekt pro dokonalejší zabezpečení přístupu k datům! Paradoxně je OTPdirekt cestou do pekla, neboť jde o další havěť, tentokrát určenou pro chytré mobilní telefony. Pokud uživatel uvěří a aplikaci OTPdirekt si do chytrého telefonu nainstaluje (funkční byla pouze verze pro Android), ta se postará o přeposílání příchozích SMS zpráv někam do Ruska.

Údajně bezpečnostní aplikace OTPdirekt je ve skutečnosti posledním hřebíčkem do rakve…

V tuto chvíli může útočník pohodlně „vytunelovat“ bankovní účet klienta a veškeré peníze si z něho převést typicky na zahraniční účty. K dispozici má totiž přihlašovací údaje k bankovnímu účtu (uživatel mu je vyzradil, když vyplnil podvržený přihlašovací dialog) a díky přeposílání SMS zpráv mu chodí i autorizační SMS zprávy z banky. Nebrání mu tak dokončit jakoukoliv peněžní transakci.

Tímto havěť OTPdirekt maskuje svůj skutečný záměr. Na podobný „token generátor“ lze narazit i v zahraničí, pouze s jinou grafikou a jiným logem bankovní instituce, proti níž byl útok veden.

Zajímavostí je, že havěť se snaží maskovat stav účtu i nelegální transakce útočníka. Tudíž to může na první pohled vypadat, že uživatel o žádné peníze nepřišel.

Co říci na závěr? Máme za sebou nejdokonalejší podvod podobného typu na území ČR. Od začátku do konce dotažený, bez amatérského překladu do češtiny, jako tomu bylo v minulosti. Taktéž téma zvolené v e-mailu (exekuční výměr) nemá v dnešní době zřejmě „konkurenci“ a podle zpráv z médií se tak bohužel podvod opravdu vydařil a řada lidí přišla o své peníze :-/

Lidem z Avastu děkuji za dokonalý rozbor. Veškeré informace a obrázky byly čerpány z blog.avast.com/cs

The post Exekuční příkaz pod drobnohledem appeared first on VIRY.CZ.

Kategorie: Viry a Červi

VÝZVA K ÚHRADĚ DLUŽNÉHO PLNĚNÍ PŘED PROVEDENÍM EXEKUCE – aneb podvodný email s virem do třetice všeho zlého

15 Červenec, 2014 - 14:35

Dne 15.7.2014 se začala šířit nová vlna podvodných emailů, vybízející k zaplacení dlužné částky a vyhrožující exekucí. Samozřejmě se jedná o podvod a v příloze se nachází nechvalně známý virus Win32/TrojanDownloader.Elenoocka, který se zaměřuje na získání přístupů do internetového bankovnictví a stahováním další havěti.

Ten byl součástí i minulé vlny podvodných emailů, kde se opět žádalo zaplacení dlužné částky. Je tedy vidět, že autoři viru používají již osvědčený postup a stačí jim pouze změnit text emailu, aby zneužili lidské zvědavosti a obav z exekuce a tím je prakticky donutili přílohu otevřít a inicializovat tak spuštění viru.

Text e-mailu vypadá přibližně pak takto (jména s mění v každém exempláři):

 

VÝZVA K ÚHRADĚ DLUŽNÉHO PLNĚNÍ PŘED PROVEDENÍM EXEKUCE Soudní exekutor Mgr. Ing. Jiří Prošek, Exekutorský úřad Plzeň – město, IČ 87560921, se sídlem Rychtaříkova 15, 336 00 Plzeň pověřený provedením exekuce: č.j. 22 EXE 233/2014 -18, na základě ustanovení: Příkaz č.j. 066457/2014-416/Čen/G V.vyř., vás ve smyslu §46 odst. 6 z. č. 120/2001 Sb. (exekuční řád) v platném znění vyzývá k splnění označených povinností, které ukládá exekuční titul, stejně ták, jako i povinnosti uhradit náklady na nařízení exekuce a odměnu soudního exekutora, případně zálohu na náklady exekuce a odměnu soudního exekutora: Peněžitý nárok oprávněného včetně nákladu k dnešnímu dni: 5 818,00 Kč Záloha na odměnu exekutora (peněžité plnění): 1 104,00 Kč včetně DPH 21% Náklady exekuce paušálem: 3 968,00 Kč včetně DPH 21% Pro splnění veškerých povinností  povinný musí uhradit na účet soudního exekutora (č.ú. 389654709/2600, variabilní symbol 44129402, ČSOB a.s.), ve lhůtě 15 dnů od doručení této výzvy 10 890,00 Kč Nebude-li  uvedená částka uhrazena ve lhůtě 15 dnů od doručení této výzvy, bude i provedena exekuce majetku a/nebo zablokován bankovní účet  povinného ve smyslu § 44a odst. 1 EŘ a podle § 47 odst. 4 EŘ. Až do okamžiku splnění povinnosti. Příkaz k úhradě, vyrozumění o zahájení exekuce  a vypučet povinnosti najdete v přiložených souborech. Za správnost vyhotovení Adriana Tauschová

 

Pokud jste soubor z přílohy, označený jako prikaz???.ZIP otevřeli, doporučuji kontrolu počítače prográmkem ESET Online Scanner nebo programem Malwarebytes. Tyto dva antivirové programy detekovaly hrozbu jako první.

Podrobnější informace o viru a cesty, kde se nachází, naleznete zde: www.virusradar.com/en/Win32_TrojanDownloader.Elenoocka.A/description

Zda virus detekuje i Váš antivirový software můžete ověřit na tomto odkazu: https://www.virustotal.com/cs/

The post VÝZVA K ÚHRADĚ DLUŽNÉHO PLNĚNÍ PŘED PROVEDENÍM EXEKUCE – aneb podvodný email s virem do třetice všeho zlého appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Jsme velmi rádi, že využíváte produkty naší banky…

23 Červen, 2014 - 21:34

Kromě toho, že se nám začal masivně šířit (znovu) podvodný e-mail včetně zavirované přílohy, jeden ze čtenářů mě upozornil i na „hezký“ podvod namířený na uživatele Apple…

V tom prvním případě vypadá e-mail nějak takto a v podstatě jde o totéž, o čem byla předchozí novinka:

Vážený kliente, Jsme velmi rádi, že využíváte produkty  naší banky. Chceme ale Vás upozornit,  že k 25.05.2014 na svém osobním účtu mátenepovolený debet ve výši #6347213514716230 5501.17 Kč. Nabízíme vám dobrovolně uhradit vzniklou pohledávku v plném rozsahu do 30.06.2014. Včasné uhrazeni pohledávky bude znamenat  dodrženi smlouvy číslo #CA61285171EC23630 a umožni Vám: 1) Dodržet pozitivní úvěrovou historii 2) Vyhnout se soudnímu sporu, a spojeným s takovým sporem nákladům. V případě prodlení označené pohledávky 5501.17 Kč dovolíme si upozornit na to, že podle znení smlouvy číslo #CA61285171EC23630 uvedená pohledávka se považuje za nově vznikly spotřebitelský úvěr a na základě Zákona č. 145/2010 o spotřebitelském úvěru a v souladu s jinými právními předpisy, jsme oprávněni zahájit kroky zaměřené na včasně vracení nezplaceného úvěru. Kopie smlouvy číslo #CA61285171EC23630 a podrobný výpočet  vzniklé pohledávky jsou připojeny k tomuto dopisu jako příloha soubor "smlouvaCA61285171EC23630.zip" S pozdravem, Andrea Demutová Vedoucí odboru vymahani pohledávek +420 608 444 687

Jméno v podpisu i telefonní číslo se mění v každém exempláři, stejně jako některé další údaje. Soubor v příloze obsahuje zavirovaný EXE soubor, prdlajks smlouvu.

Druhý podvod se zaměřil především na uživatele Apple. V e-mailu, který může dorazit, je uvedeno toto:

Tj. firma Apple vás informuje o údajném zablokování vašeho Apple ID účtu z bezpečnostních důvodů, neboť někdo se pokusil přihlásit z jiné, než z vaší IP adresy. Pointa je v tom, že musíte potvrdit svoji identitu a prokázat se, že vy jste opravdu vy. Tj. po ťuknutí na „Verify Now“ se dostanete na tuto stránku:

Zadáním vašeho Apple ID a hesla se dostanete na další krok, kde musíte prokázat svojí identitu mimo jiné tím, že zadáte číslo platební karty, CVV kód, platnost a držitele karty. Tudíž dostatek informací k tomu, aby mohla být vaše karta zneužita minimálně pro nákupy přes internet…

Celé je to pochopitelně podvod. Graficky to sice vypadá téměř lépe než originál od Applu, nicméně všimněte si URL adresy v horní části obrázků. Celé to běží mimo doménu apple.com a navíc si útočníci nedali práci ani s použitím šifrovaného HTTPS protokolu, aby to vypadalo alespoň trochu přesvědčivě. Pokud ale uživatel naletí, odevzdá útočníkům jak přihlašovací jméno a heslo k Apple ID, tak i údaje o sobě a platební kartě.

Tudíž co říci závěrem? Buďte ostražití a nevěřte všemu!

The post Jsme velmi rádi, že využíváte produkty naší banky… appeared first on VIRY.CZ.

Kategorie: Viry a Červi