Trükkös adathalász hálózatra bukkantunk a minap a víruslaborunk egyik bejelentésének köszönhetően: A Telekom-adatokat lopó levelet egy könyvesbolt küldi az áldozatoknak, a levélben található bejelentkező gomb az egyik legnagyobb egyetem egyik oldalára irányít, ami végül továbbdob egy gázszerelő vállalkozás weboldalára, amin egy, az igazival szinte teljesen megegyező, viszont adatokat lopó Telekom és OTP oldal fut.
A víruslaborunk e-mail címére (vizsgalat@makay.net) küldött levél látszólag teljesen megegyezik a Telekom leveleivel, csak a szöveg figyelmes elolvasásával tűnik fel, hogy azt bizonyára Google Fordító segítségével fordították klingonról vagy vogonról magyarra.
A levélben az alig érthető, de a témához kapcsolódó magyar kifejezéseket tartalmazó szöveg végén ott a hatalmas, Telekom-színű befizetés gomb, amire a figyelmetlen és/vagy rutinból kattintó felhasználók kapásból rányomnak.
A gomb a nem sokkal ezelőtt törölt L&L Könyvesbolt weboldalának hírlevél-feliratkozó oldalára irányít – bizonyára olvasták a néhány órával ezen sorok írása előtt kiküldött felhívásunkat.
Viszont a folyamat itt nem áll meg, ugyanis a lap átirányít a Debreceni Egyetem Népegészségügyi Karának egy mára teljesen elhanyagolt weboldalára – az www.nk.unideb.hu jelenleg is hivatkozik erre az oldalra.
A nepegeszseg.hu-ra feltehetően illetéktelenek által feltöltött index.php azonnal továbbirányít a Zala-Javszer Kft. weboldalára, aminek egyik lapját a kiberbűnözők szintén eltérítették és amire az adathalászatra kifejlesztett, hamis Telekom-bejelentkezőt töltötték fel.
A Belépek gombra kattintva a bejelentkezési adatok szintén a gázszerelő vállalkozás tárhelyén elhelyezett vegeta.php oldalnak mennek, ami továbbdob a teljes.php lapra. Ezen a lapon már egy OTP adathalász oldal található, szóval sejthető, hogy az egész folyamatban ez a legfontosabb rész, hiszen a bűnözők ezzel OTP belépési adatokat szerezhetnek meg.
Bár a kiindulási pontként szolgáló L&L Könyvesbolt már törlésre került, ez még nem jelenti azt, hogy a fent bemutatott adathalászási folyamat ellehetetlenítésre került, hiszen a támadóknak csupán annyi a dolguk, hogy az llkonyvesbolt.hu érintett lapja helyett a második lépésben szereplő nepegeszseg.hu lapját kezdik terjeszteni.
Tanácsok: Ha úgy tűnik, hogy e-mailt kaptunk valamelyik szolgáltatónktól, a linkekre való kattintás/érintés helyett inkább mi magunk nyissunk meg egy böngészőt, és manuálisan gépeljük be az adott szolgáltató weboldalának címét, majd azon keresztül jelentkezzünk be a szolgáltató ügyfélfelületére! Ezzel elkerülhetjük a kiberbűnözők hamis levelekkel és webcímekkel való trükközését.
Kedveld a Facebook-oldalunkat: https://facebook.com/MakayNet
Tovább cikkek: https://makay.net/hacker/kiberbiztonsagi_hirek_cikkek.html
