16 828
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 828
/ContentUploads/A912/hackerman.jpg
Kattints ide  ➜

Így rabolnám ki a bankszámládat

Makay József2015.11.20. 10.53
Néhány nappal ezelőtt közöltük a hírt, miszerint ismeretlen elkövetők az OTP Bank ügyfeleitől banki belépési adatokat próbáltak kicsalni egy hitelesnek tűnő e-maillel és a benne található link segítségével. Mivel még most is sokan bedőlnek az ilyen átveréseknek, úgy döntöttem, megpróbálom úgy bemutatni a módszert, hogy a laikusok is felkészülhessenek az ilyen támadásokra.

Egy, az interneten terjedő phishing e-mailben ismeretlenek az OTP Bankra hivatkozva próbálnak meg személyes internetbelépéshez szükséges adatokat kicsalni ügyfeleinktől. Felhívjuk figyelmüket, hogy a levél hamis, és a levélben található hivatkozásra kattintva egy adathalász oldalra jutnak. Ahogy már számos alkalommal hangsúlyoztuk, az OTP Bank soha nem kért és nem kér e-mailben ügyféladatokat, szolgáltatás megerősítést. Amennyiben tájékoztatásunk késve érte el Önt és adatait már megadta, kérjük, haladéktalanul lépjen kapcsolatba velünk a 06-1-3666-666 telefonszámon, vagy e-mailben!


Bár az OTP elég jól elmagyarázta, jóval egyszerűbb megérteni a módszert, ha beleképzeljük magunkat. Tételezzük fel, hogy Én vagyok az a bűnöző, aki annyira alvilági figura, hogy még a számítógép előtt is fekete símaszkban és bőrkesztyűben ül. Egyik nap elhatározom, hogy gazdag leszek – persze befektetett munka nélkül, mások átverésével.

Mivel manapság szinte mindenki rendelkezik online belépési lehetőséggel egy adott bank weboldalán, még a fotelből sem kell felállnom a meggazdagodás érdekében. Az internetezőket akarom meglopni, akik böngésznek, leveleznek és online intézik banki ügyeiket.



A célszemélyek kiválasztásánál két módszert használhatok: Vagy ismerőstől lopok, akinek tudom az e-mail címét és ismerem a bankját, vagy ismeretlenül támadok embercsoportokat és bízom a véletlen erejében.

Ezúttal az első lehetőséget választom, mert egész véletlenül tudom, hogy az egyik jómódú ismerősöm melyik banknál tartja a pénzét.

Első lépésként meglátogatom az ismerős bankjának weboldalát, ahonnan minden dizájnelemet letöltök. Ezekből építek egy saját weboldalt, ami pontosan úgy néz ki, mint az eredeti bejelentkező képernyője – azzal a kivétellel, hogy a bejelentkezési mezők mögé elrejtettem egy algoritmust, ami minden adatot lement a bejelentkezés pillanatában.



A weboldalt feltöltöm egy ingyenes tárhelyre és máris kész a leendő áldozat banki bejelentkező oldala, ami a bejelentkezés pillanatában lementi a belépési adatokat – ezeket felhasználva később én is bejelentkezhetek a fiókjába, oda utalva a pénzt, ahová csak szeretném.

Már csak egy szépen megformázott, valódinak tűnő e-mailre van szükségem, amiről az áldozat elhiszi, hogy a bank küldte és rákattint a levélben található linkre, átirányítva őt a hamis oldalra. A levélben valamilyen biztonsági incidensre hivatkozom, amihez online belépés szükséges.

A levél összeállítása után az utolsó teendő következik: el kell küldenem a levelet az áldozatnak valamilyen hamis e-mail címről. Tele az internet ilyen szolgáltatásokkal, csak ki kell választanom egyet és megadnom egy lehetőleg kevésbé gyanús e-mail címet.



Az áldozat készséges közreműködésének köszönhetően az ingyenes tárhelyről már csak le kellett töltenem a fájlt, amibe az adatok kerültek. Mivel az illető nem használ SMS-es azonosítást, a bejelentkezés is simán ment, én pedig lehetőséget szereztem a számla folyamatos meglopására.


Hol hibázott az áldozat?



Rákattintott egy linkre egy ismerősnek tűnő e-mailben, ami talán megbocsátható is lenne, viszont a böngészőben megnyíló oldal webcímét már egyáltalán nem ellenőrizte, holott még csak nem is hasonlított a bank weboldalának címéhez. A biztonsági kockázatot növelte, hogy nem használt SMS-kódos hitelesítést – ennek használatával hiába loptam volna el a bejelentkezési adatokat, nem tudtam volna velük bejelentkezni, vagy bejelentkezés után pénzt utalni. De ami talán a legfontosabb: A bank sosem küld e-mailt, legalábbis ilyet biztosan nem!


Ez a támadás a valóságban is működne?



A módszer ismertetéséből rengeteg részletet szándékosan kihagytam, de sok célpontnál még ez az elnagyolt forma is működne. Végrehajtásáért az esetek többségében letöltendő börtönbüntetés jár, szóval senki se próbálkozzon vele, még csak poénból sem!
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Amazon Go ‑ Csak kisétálsz a boltból, fizetés nélkül
Sokat fejlődik az új frissítéssel a Google Duo
Moduláris okostelefon érkezik a Honortól
Az Android 7.0 Nougat lesz az UMi karácsonyi ajándéka
2016 legjobb okostelefonjai ‑ Sebességteszt
Akksiproblémák mutatkoznak néhány MacBook Pro notebooknál
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Állásajánlatok
Vezető gépkarbantartó mérnök
Gazdaságstatisztikus
Tartalomírás content marketing
Technical Advisor - Technical Pre-Sales - VOC0001WA
Mainframe System Administrator System Programmer Budapest
Erősáramú üzembe helyező
Termékmenedzser szakreferens 64825