17 495
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A912/hackerman.jpg
Kattints ide  ➜

Így rabolnám ki a bankszámládat

Makay József2015.11.20. 10.53
Néhány nappal ezelőtt közöltük a hírt, miszerint ismeretlen elkövetők az OTP Bank ügyfeleitől banki belépési adatokat próbáltak kicsalni egy hitelesnek tűnő e-maillel és a benne található link segítségével. Mivel még most is sokan bedőlnek az ilyen átveréseknek, úgy döntöttem, megpróbálom úgy bemutatni a módszert, hogy a laikusok is felkészülhessenek az ilyen támadásokra.

Egy, az interneten terjedő phishing e-mailben ismeretlenek az OTP Bankra hivatkozva próbálnak meg személyes internetbelépéshez szükséges adatokat kicsalni ügyfeleinktől. Felhívjuk figyelmüket, hogy a levél hamis, és a levélben található hivatkozásra kattintva egy adathalász oldalra jutnak. Ahogy már számos alkalommal hangsúlyoztuk, az OTP Bank soha nem kért és nem kér e-mailben ügyféladatokat, szolgáltatás megerősítést. Amennyiben tájékoztatásunk késve érte el Önt és adatait már megadta, kérjük, haladéktalanul lépjen kapcsolatba velünk a 06-1-3666-666 telefonszámon, vagy e-mailben!


Bár az OTP elég jól elmagyarázta, jóval egyszerűbb megérteni a módszert, ha beleképzeljük magunkat. Tételezzük fel, hogy Én vagyok az a bűnöző, aki annyira alvilági figura, hogy még a számítógép előtt is fekete símaszkban és bőrkesztyűben ül. Egyik nap elhatározom, hogy gazdag leszek – persze befektetett munka nélkül, mások átverésével.

Mivel manapság szinte mindenki rendelkezik online belépési lehetőséggel egy adott bank weboldalán, még a fotelből sem kell felállnom a meggazdagodás érdekében. Az internetezőket akarom meglopni, akik böngésznek, leveleznek és online intézik banki ügyeiket.



A célszemélyek kiválasztásánál két módszert használhatok: Vagy ismerőstől lopok, akinek tudom az e-mail címét és ismerem a bankját, vagy ismeretlenül támadok embercsoportokat és bízom a véletlen erejében.

Ezúttal az első lehetőséget választom, mert egész véletlenül tudom, hogy az egyik jómódú ismerősöm melyik banknál tartja a pénzét.

Első lépésként meglátogatom az ismerős bankjának weboldalát, ahonnan minden dizájnelemet letöltök. Ezekből építek egy saját weboldalt, ami pontosan úgy néz ki, mint az eredeti bejelentkező képernyője – azzal a kivétellel, hogy a bejelentkezési mezők mögé elrejtettem egy algoritmust, ami minden adatot lement a bejelentkezés pillanatában.



A weboldalt feltöltöm egy ingyenes tárhelyre és máris kész a leendő áldozat banki bejelentkező oldala, ami a bejelentkezés pillanatában lementi a belépési adatokat – ezeket felhasználva később én is bejelentkezhetek a fiókjába, oda utalva a pénzt, ahová csak szeretném.

Már csak egy szépen megformázott, valódinak tűnő e-mailre van szükségem, amiről az áldozat elhiszi, hogy a bank küldte és rákattint a levélben található linkre, átirányítva őt a hamis oldalra. A levélben valamilyen biztonsági incidensre hivatkozom, amihez online belépés szükséges.

A levél összeállítása után az utolsó teendő következik: el kell küldenem a levelet az áldozatnak valamilyen hamis e-mail címről. Tele az internet ilyen szolgáltatásokkal, csak ki kell választanom egyet és megadnom egy lehetőleg kevésbé gyanús e-mail címet.



Az áldozat készséges közreműködésének köszönhetően az ingyenes tárhelyről már csak le kellett töltenem a fájlt, amibe az adatok kerültek. Mivel az illető nem használ SMS-es azonosítást, a bejelentkezés is simán ment, én pedig lehetőséget szereztem a számla folyamatos meglopására.


Hol hibázott az áldozat?



Rákattintott egy linkre egy ismerősnek tűnő e-mailben, ami talán megbocsátható is lenne, viszont a böngészőben megnyíló oldal webcímét már egyáltalán nem ellenőrizte, holott még csak nem is hasonlított a bank weboldalának címéhez. A biztonsági kockázatot növelte, hogy nem használt SMS-kódos hitelesítést – ennek használatával hiába loptam volna el a bejelentkezési adatokat, nem tudtam volna velük bejelentkezni, vagy bejelentkezés után pénzt utalni. De ami talán a legfontosabb: A bank sosem küld e-mailt, legalábbis ilyet biztosan nem!


Ez a támadás a valóságban is működne?



A módszer ismertetéséből rengeteg részletet szándékosan kihagytam, de sok célpontnál még ez az elnagyolt forma is működne. Végrehajtásáért az esetek többségében letöltendő börtönbüntetés jár, szóval senki se próbálkozzon vele, még csak poénból sem!
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2017 – Makay József (makay@androbit.net)
Cellebrite: Meghackelték a hackereket
A Samsung már nem titkolja a Galaxy S8 külsejét
Robotasszisztensekkel segítené az életünket az LG
Ubuntu helyett openSUSE Linux a Windows 10‑ben
Így nézhetne ki a Microsoft széthajtható okostelefonja
LEAGOO M5 okostelefon ‑ Nagyon alacsony áron
Felkapott témák
A Facebook és a Messenger app újraindítása csökkentheti az akksimerülést
Túl gyorsan nőtt nagyra a Xiaomi
Saját céget indított az Android társalapítója
Folyadékhűtéssel érkezett a Samsung Galaxy C7 Pro
A Samsung már nem titkolja a Galaxy S8 külsejét
10 év börtönre ítélhetik a 21 éves programozót
Állásajánlatok
Pályakezdő ügyfélszolgálati munkatárs német nyelvtudással [ST-UG03]
Project Portfolio Manager
Smartcare CEM Engineer
Head of Team - Large Account Solutions S&P Budapest
IT Business Analyst - VOD000CAK
Termékmenedzser
Quality and Process Specialist