Sponsor

ATHENS WEATHER

Phishing εναντίον της Τράπεζας Πειραιώς – Το SecNews εντόπισε την προέλευσή της!

TRAPEZA PIREWS [ΑΠΟΚΛΕΙΣΤΙΚΟ] Phishing εναντίον της Τράπεζας Πειραιώς   Το SecNews εντόπισε την προέλευσή της!Μια άκρως επικίνδυνη και εξαιρετικά “περίεργη” επίθεση Phishing εναντίον πελατών της Τράπεζας Πειραιώς εντόπισε πριν από λίγο,τις πρώτες πρωινές ώρες, η συντακτική ομάδα του SecNews και σας μεταδίδουμε σε ΠΑΝΕΛΛΗΝΙΑ ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ τις πρώτες πληροφορίες. Θα αναλύσουμε παρακάτω γιατί θεωρούμε ότι η συγκεκριμένη επίθεση είναι “ιδιαιτέρως” περίεργη.



Οι ηλεκτρονικοί απατεώνες στοχοποίησαν μια από τις πλέον γνωστές και δυναμικές  Ελληνικές Τράπεζες, την Τράπεζα Πειραιώς με σκοπό να αποσπάσουν χρηματικά ποσά από ανυποψίαστους χρήστες. Το Phishing είναι κάτι συνηθισμένο πλέον, και ούτε λίγο ούτε πολύ όλοι έχουμε δεχθεί αντίστοιχα μηνύματα (δείτε σχετικά Phishing στην Cosmote πριν λίγο καιρό).

Το Phishing e-mail απεστάλη όπως διαπιστώσαμε μαζικά σε χιλιάδες χρήστες, ενώ ένας από τους πολλούς παραλήπτες που είχαν στοχοποιηθεί ήταν και η ηλεκτρονική e-mail επικοινωνίας του SecNews (!)  (info – at – secnews.gr).

Ο τρόπος της επίθεσης από την πλευρά του χρήστη

Στόχος των ηλεκτρονικών απατεώνων είναι όπως διαπιστώσαμε να υποκλέψουν προσωπικά δεδομένα, στοιχεία καρτών και κωδικούς e-banking από χρήστες του διαδικτύου. Το e-mail που εστάλη σε πολλαπλούς παραλήπτες είναι το παρακάτω:

Body.Message.Phising.PiraeusBank [ΑΠΟΚΛΕΙΣΤΙΚΟ] Phishing εναντίον της Τράπεζας Πειραιώς   Το SecNews εντόπισε την προέλευσή της!

Οι αποστολείς προτρέπουν τους χρήστες να κάνουν “κλικ” στον υπερσύνδεσμο μιας και όπως αναφέρουν “παρατηρήθηκε ύποπτη κίνηση στην χρήση της πιστωτικής σας κάρτας που είναι συνδεδεμένη με τον λογαριασμό”.

Σε περίπτωση που ο εκάστοτε ανυποψίαστος χρήστης κλικάρει στον υπερσύνδεσμο θα μεταφερθεί σε μια ιστοσελίδα που ομοιάζει με την ιστοσελίδα της Τράπεζας Πειραιώς (είναι τοποθετημένη στο εξωτερικό σε Server  με IP διεύθυνση 69.170.36.140 που οι χάκερς έχουν αποκτήσει μη εξουσιοδοτημένη πρόσβαση). Δείτε το σχετικό Screenshot μόλις “κλικάραμε”:



Παρατηρούμε ότι στα αριστερά ζητάει UserID, PIN και extraPIN. Αν εισάγουμε οτιδήποτε στην παραπάνω φόρμα οδηγούμαστε στην επόμενη ιστοσελίδα όπου μας ζητά τον αριθμό της πιστωτικής μας κάρτας. Δείτε σχετικά στο επόμενο ScreenShot:



Μόλις ο χρήστης τοποθετήσει και τον αριθμό της πιστωτικής του κάρτας η ιστοσελίδα ανακατευθύνει στην πραγματική ιστοσελίδα της Τράπεζας Πειραιώς, υποδηλώνοντας ότι η διαδικασία ολοκληρώθηκε επιτυχώς. Στην πραγματικότητα οτιδήποτε στοιχεία έχει πληκτρολογήσει ο χρήστης στα πεδία (κωδικούς, πιστωτική κάρτα κλπ) έχουν μεταφερθεί στα χέρια των ηλεκτρονικών απατεώνων εν αγνοία του.

Τεχνική Ανάλυση απο την ομάδα του SecNews

Το SecNews με την βοήθεια εθελοντών ειδικών ασφάλειας προχώρησε στην τεχνική ανάλυση της επίθεσης. Τα αποτελέσματα είναι άκρως ενδιαφέροντα και είναι σίγουρο ότι χρήζουν ΑΜΕΣΗΣ, ενδελεχούς και περαιτέρω έρευνας από το τμήμα ασφάλειας της Τράπεζα σε συνεργασία με τις αρμόδιες διωκτικές αρχές.

- Παραθέτουμε την διαδρομή του ηλεκτρονικού μηνύματος όπως απεστάλη στους ανυποψίαστους χρήστες. Αναλύουμε τα ηλεκτρονικά ίχνη (σ.σ. τα ακριβή στοιχεία του ηλεκτρονικού μηνύματος είναι διαθέσιμα προς πάσα ενδιαφερόμενο):



Τα δεδομένα που πηγάζουν από την παραπάνω ανάλυση είναι: (α) το e-mail υποδηλώνει ως προέλευση την ηλεκτρονική διεύθυνση info@piraeus.gr (β) Για την αποστολή του χρησιμοποιήθηκε Microsoft Outlook Express (γ) το μήνυμα δε εντοπίστηκε από τα φίλτρα Antispam και Antivirus και κατέφθασε κατευθείαν στο Inbox (δ) ο τερματικός σταθμός προέλευσης του μηνύματος που χρησιμοποιήθηκε χρησιμοποιεί Κυριλικό αλφάβητο κωδικοσελίδα Windows – 1251 γεγονός που υποδηλώνει ότι ο αρχικός σταθμός αποστολής του μηνύματος διαθέτει ενεργοποιημένη την Ρώσικη, Βουλγάρικη ή Σέρβικη γλώσσα  (ε) χρησιμοποιήθηκε ο εξυπηρετητής στο μπλέ πλαίσιο για την τελική αποστολή. Ο εν λόγω τελικός κόμβος αποστολής του μηνύματος έχει IP διεύθυνση 79.129.7.97

- Προχωρήσαμε σε ανάλυση της τελευταίας IP διεύθυνσης



Το ηλεκτρονικό ίχνος υποδηλώνει την λέξη lamd42 (Lamda πιθανόν), μια DSL γραμμή στο δίκτυο της ΟΤΕΝΕΤ. Σε ποίον ανήκει όμως αυτή η DSL γραμμή?

Οι ειδικοί σύμβουλοι του SecNews, εντόπισαν άμεσα με χρήση του προγράμματος Remote Desktop των Windows ότι η εν λόγω DSL γραμμή βρίσκεται σε εξυπηρετητή εντός του Golden Hall !!! (εξού και το lamd42 από το Lamda Development που αποτελεί την εταιρεία διαχείρισης του Golden Hall)!  Αναρτούμε το παρακάτω Screenshot ως απόδειξη των ανωτέρω:



- Και οι εκπλήξεις δεν έχουν τέλος! Ο εξυπηρετητής (Server) που έχουν θέσει υπό τον έλεγχό τους οι ηλεκτρονικοί απατεώνες και καταχωρούν τα στοιχεία υποκλοπής από την Τράπεζα Πειραιώς (πιστωτικές κάρτες, κωδικούς κλπ) ανήκει σε μεγάλο Δικηγορικό Γραφείο του Oakland της Καλιφόρνια και συγκεκριμένα στο Scott Cole & Associates [ιστοσελίδα εδώ], φυσικά εν αγνοία τους!



Συμπεράσματα – Διαπιστώσεις

Το παράδοξο της νέας αυτής επίθεσης Phishing, είναι το γεγονός ότι το τελικό ηλεκτρονικό ίχνος της επίθεσης εναντίον Ελληνικής Τράπεζας εντοπίστηκε εντός της Ελληνικής επικράτειας και συγκεκριμένα εντός ενός πολύ γνωστού πολυκαταστήματος. Θεωρούμε ότι ο server/εξυπηρετητής που εντόπισαν οι εθελοντές ειδικοί-ασφάλειας, έχει πέσει θύμα κακόβουλης επίθεσης (δεν μπορούμε να φανταστούμε ότι ένας εργαζόμενος στο Golden Hall θα αποστέλλει Phishing μηνύματα στις 4.00 τα ξημερώματα!). Επιπλέον η ώρα αποστολής του κακόβουλου e-mail είναι σημαντική μιας και επέλεξαν τα ξημερώματα ώστε τα υποψήφια θύματα να παραλάβουν το κακόβουλο μήνυμα  μέσα στα πρώτα παραληφθέντα  κατά την έναρξη της πρωινής τους εργασίας σε εταιρείες και οργανισμούς.

Σε κάθε περίπτωση οι ηλεκτρονικοί απατεώνες χρησιμοποίησαν τις υποδομές του Golden Hall για να εξαπολύσουν την επίθεσή τους και να αποκρύψουν τα ίχνη τους.

Είναι πιθανό η πρόσβαση στον εξυπηρετητή να μην επετεύχθη μέσω Internet αλλά μέσω ασυρμάτων δικτύων πρόσβασης, κάτι που οι αρμόδιοι πρέπει σίγουρα να εξετάσουν με διάφορους τρόπους. Επιπλέον ο εξυπηρετητής που χρησιμοποιήθηκε για την μαζική αποστολή των ηλεκτρονικών μηνυμάτων θα πρέπει να αναλυθεί για ψηφιακά πειστήρια (Forensics Analysis) ώστε να διαπιστωθεί ο ακριβής τρόπος και η προέλευση των μηνυμάτων.

Η Τράπεζα Πειραιώς, που σίγουρα διαθέτει υψηλή γνώση στην αντιμετώπιση τέτοιων περιστατικών, θα πρέπει να προχωρήσει στις προβλεπόμενες ενέργειες για τέτοιες περιπτώσεις ώστε να θέσει εκτός λειτουργίας την Phishing ιστοσελίδα που έχουν “σηκώσει” στον εξυπηρετητή οι ηλεκτρονικοί απατεώνες.

Λόγω της πολυπλοκότητας και της εμπλοκής πλήθους φορέων σε Ελλάδα και εξωτερικό αναφορικά με την επίθεση, θεωρούμε ότι είναι κάτι περισσότερο από επιβεβλημένη  η εμπλοκή των διωκτικών αρχών ώστε να εντοπιστεί το ακριβές μέγεθος της ζημιάς που προκλήθηκε από το εξειδικευμένο Phishing attack.

Το SecNews ενημερώνει τους αναγνώστες του ώστε να είναι ιδιαίτερα προσεκτικοί κατά την λήψη e-mails με αντίστοιχο περιεχόμενο ειδικά όταν μέσω ηλεκτρονικής αλληλογραφίας εταιρείες, τράπεζες ή μεγάλοι οργανισμοί ζητούν προσωπικά δεδομένα.

Η συντακτική ομάδα του SecNews ευχαριστεί τους εθελοντές αναλυτές για την υποστήριξή τους.

[Update 1: 5/9/2012 - 15:47]  Σύμφωνα με πληροφορίες που φτάνουν από αναγνώστες του SecNews, η επίθεση Phishing είναι ακόμα σε εξέλιξη. Ενώ η Τράπεζα προχώρησε σε όλα τα προβλεπόμενα μέτρα, οι  διαδικτυακοί απατεώνες δημιούργησαν αντίστοιχη ιστοσελίδα σε άλλο εξυπηρετητή στην Κορέα (!). Δείτε τα σχετικά Screenshots.





[Update 2: 5/9/2012 - 16:45] Δείτε την ενημέρωση της Τράπεζας Πειραιώς μέσω Twitter για την επίθεση Phishing εναντίον των πελατών της που αποκάλυψε το SecNews [εδώ]. Όπως τονίζει αναγνώστης της ιστοσελίδας μας, “θα ήταν απαραίτητη η έκδοση  ενός δελτίο τύπου μιας και αρκετοί χρήστες της διαδικτυακής πλατφόρμας e-banking της Τράπεζας,ΔΕΝ διαθέτουν λογαριασμό στο Twitter”



To SecNews καλεί τους αναγνώστες του να είναι ιδιαίτερα προσεκτικοί σήμερα κατά τις διαδικτυακές τους συναλλαγές και να αποφύγουν την χρήση συνδέσμων (links) που τους αποστέλλουν τραπεζικά ιδρύματα και χρηματοπιστωτικοί οργανισμοί.

Δημοσίευση σχολίου

0 Σχόλια