19 449
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/A912/hackerman.jpg

Így rabolnám ki a bankszámládat

2015.11.20. 10.53
Néhány nappal ezelőtt közöltük a hírt, miszerint ismeretlen elkövetők az OTP Bank ügyfeleitől banki belépési adatokat próbáltak kicsalni egy hitelesnek tűnő e-maillel és a benne található link segítségével. Mivel még most is sokan bedőlnek az ilyen átveréseknek, úgy döntöttem, megpróbálom úgy bemutatni a módszert, hogy a laikusok is felkészülhessenek az ilyen támadásokra.

Egy, az interneten terjedő phishing e-mailben ismeretlenek az OTP Bankra hivatkozva próbálnak meg személyes internetbelépéshez szükséges adatokat kicsalni ügyfeleinktől. Felhívjuk figyelmüket, hogy a levél hamis, és a levélben található hivatkozásra kattintva egy adathalász oldalra jutnak. Ahogy már számos alkalommal hangsúlyoztuk, az OTP Bank soha nem kért és nem kér e-mailben ügyféladatokat, szolgáltatás megerősítést. Amennyiben tájékoztatásunk késve érte el Önt és adatait már megadta, kérjük, haladéktalanul lépjen kapcsolatba velünk a 06-1-3666-666 telefonszámon, vagy e-mailben!


Bár az OTP elég jól elmagyarázta, jóval egyszerűbb megérteni a módszert, ha beleképzeljük magunkat. Tételezzük fel, hogy Én vagyok az a bűnöző, aki annyira alvilági figura, hogy még a számítógép előtt is fekete símaszkban és bőrkesztyűben ül. Egyik nap elhatározom, hogy gazdag leszek – persze befektetett munka nélkül, mások átverésével.

Mivel manapság szinte mindenki rendelkezik online belépési lehetőséggel egy adott bank weboldalán, még a fotelből sem kell felállnom a meggazdagodás érdekében. Az internetezőket akarom meglopni, akik böngésznek, leveleznek és online intézik banki ügyeiket.



A célszemélyek kiválasztásánál két módszert használhatok: Vagy ismerőstől lopok, akinek tudom az e-mail címét és ismerem a bankját, vagy ismeretlenül támadok embercsoportokat és bízom a véletlen erejében.

Ezúttal az első lehetőséget választom, mert egész véletlenül tudom, hogy az egyik jómódú ismerősöm melyik banknál tartja a pénzét.

Első lépésként meglátogatom az ismerős bankjának weboldalát, ahonnan minden dizájnelemet letöltök. Ezekből építek egy saját weboldalt, ami pontosan úgy néz ki, mint az eredeti bejelentkező képernyője – azzal a kivétellel, hogy a bejelentkezési mezők mögé elrejtettem egy algoritmust, ami minden adatot lement a bejelentkezés pillanatában.



A weboldalt feltöltöm egy ingyenes tárhelyre és máris kész a leendő áldozat banki bejelentkező oldala, ami a bejelentkezés pillanatában lementi a belépési adatokat – ezeket felhasználva később én is bejelentkezhetek a fiókjába, oda utalva a pénzt, ahová csak szeretném.

Már csak egy szépen megformázott, valódinak tűnő e-mailre van szükségem, amiről az áldozat elhiszi, hogy a bank küldte és rákattint a levélben található linkre, átirányítva őt a hamis oldalra. A levélben valamilyen biztonsági incidensre hivatkozom, amihez online belépés szükséges.

A levél összeállítása után az utolsó teendő következik: el kell küldenem a levelet az áldozatnak valamilyen hamis e-mail címről. Tele az internet ilyen szolgáltatásokkal, csak ki kell választanom egyet és megadnom egy lehetőleg kevésbé gyanús e-mail címet.



Az áldozat készséges közreműködésének köszönhetően az ingyenes tárhelyről már csak le kellett töltenem a fájlt, amibe az adatok kerültek. Mivel az illető nem használ SMS-es azonosítást, a bejelentkezés is simán ment, én pedig lehetőséget szereztem a számla folyamatos meglopására.


Hol hibázott az áldozat?



Rákattintott egy linkre egy ismerősnek tűnő e-mailben, ami talán megbocsátható is lenne, viszont a böngészőben megnyíló oldal webcímét már egyáltalán nem ellenőrizte, holott még csak nem is hasonlított a bank weboldalának címéhez. A biztonsági kockázatot növelte, hogy nem használt SMS-kódos hitelesítést – ennek használatával hiába loptam volna el a bejelentkezési adatokat, nem tudtam volna velük bejelentkezni, vagy bejelentkezés után pénzt utalni. De ami talán a legfontosabb: A bank sosem küld e-mailt, legalábbis ilyet biztosan nem!


Ez a támadás a valóságban is működne?



A módszer ismertetéséből rengeteg részletet szándékosan kihagytam, de sok célpontnál még ez az elnagyolt forma is működne. Végrehajtásáért az esetek többségében letöltendő börtönbüntetés jár, szóval senki se próbálkozzon vele, még csak poénból sem!

Így készíthetünk vízhajtású kalapácsot kőkorszaki eszközökkel
Több ezren váltanának GNOME helyett KDE‑re az Ubuntuban
Így fog kinézni az iPhone X
Egy rejtélyes zenekütyü fejlesztésébe kezdett a Spotify
Rendszerfrissítésnek álcázzák az androidos kártevőket
Teljes hosszúságú Kingsman előzetes érkezett
Felkapott témák
Így fog kinézni az iPhone X
A Samsung Galaxy S8 Home gombja mindig máshol jelenik meg
Több ezren váltanának GNOME helyett KDE-re az Ubuntuban
300 dollárba kerül egy Samsung Galaxy S8 legyártása
Elon Musk bemutatta a közlekedés jövőjét
Az Apple mellett a Google is három készüléket mutat be
Állásajánlatok
IT Engineer
Cad mérnök
Szerviztechnikus
Consultant Master data management
Adatelemző és riporting munkatárs
Consultant Vault
Rendszerszervező