Súlyos sebezhetőségre figyelmeztet a Fortinet Orosz állami hackerek forráskódokat lophattak el a Microsofttól Mi az a Ransomware-as-a-Service? 110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője Szoftverengedélyezési folyamat – Kiberbiztonsági ellenőrzőlista Letartóztatták a LockBit néhány tagját, kiadtak egy dekriptáló szoftvert Broken Object Level Authorization sérülékenység javítása, megelőzése A titkosított Signal üzenetküldő bevezetet a felhasználóneveket Információbiztonság vs. kiberbiztonság Felhőalapú kiberbiztonsági tanácsadás és audit Kiberbiztonsági partnerprogram CVSS: Common Vulnerability Scoring System Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Session Hijacking sérülékenység javítása, megelőzése Kövessen Minket LinkedInen is!

OTP- és Telekom-adatok lopásában érintett egy egyetem, egy könyvesbolt és egy gázszerelő vállalkozás

Trükkös adathalász hálózatra bukkantunk a minap a víruslaborunk egyik bejelentésének köszönhetően: A Telekom-adatokat lopó levelet egy könyvesbolt küldi az áldozatoknak, a levélben található bejelentkező gomb az egyik legnagyobb egyetem egyik oldalára irányít, ami végül továbbdob egy gázszerelő vállalkozás weboldalára, amin egy, az igazival szinte teljesen megegyező, viszont adatokat lopó Telekom és OTP oldal fut.

Megjegyzés: Az itt bemutatott adathalász hálózatot sérülékenységvizsgálat nélkül, egyszerű továbbkattintásokkal térképeztük fel. Az érintett szervezeteket már értesítettük, viszont kötelességünknek érezzük a jelentés azonnali publikálását az internetezők védelme érdekében.

A víruslaborunk e-mail címére (vizsgalat@makay.net) küldött levél látszólag teljesen megegyezik a Telekom leveleivel, csak a szöveg figyelmes elolvasásával tűnik fel, hogy azt bizonyára Google Fordító segítségével fordították klingonról vagy vogonról magyarra.

A levélben az alig érthető, de a témához kapcsolódó magyar kifejezéseket tartalmazó szöveg végén ott a hatalmas, Telekom-színű befizetés gomb, amire a figyelmetlen és/vagy rutinból kattintó felhasználók kapásból rányomnak.

Phishing

A gomb a nem sokkal ezelőtt törölt L&L Könyvesbolt weboldalának hírlevél-feliratkozó oldalára irányít – bizonyára olvasták a néhány órával ezen sorok írása előtt kiküldött felhívásunkat.

Viszont a folyamat itt nem áll meg, ugyanis a lap átirányít a Debreceni Egyetem Népegészségügyi Karának egy mára teljesen elhanyagolt weboldalára – az www.nk.unideb.hu jelenleg is hivatkozik erre az oldalra.

Base64

Unideb

A nepegeszseg.hu-ra feltehetően illetéktelenek által feltöltött index.php azonnal továbbirányít a Zala-Javszer Kft. weboldalára, aminek egyik lapját a kiberbűnözők szintén eltérítették és amire az adathalászatra kifejlesztett, hamis Telekom-bejelentkezőt töltötték fel.

Curl

Telekom

A Belépek gombra kattintva a bejelentkezési adatok szintén a gázszerelő vállalkozás tárhelyén elhelyezett vegeta.php oldalnak mennek, ami továbbdob a teljes.php lapra. Ezen a lapon már egy OTP adathalász oldal található, szóval sejthető, hogy az egész folyamatban ez a legfontosabb rész, hiszen a bűnözők ezzel OTP belépési adatokat szerezhetnek meg.

OTP

Bár a kiindulási pontként szolgáló L&L Könyvesbolt már törlésre került, ez még nem jelenti azt, hogy a fent bemutatott adathalászási folyamat ellehetetlenítésre került, hiszen a támadóknak csupán annyi a dolguk, hogy az llkonyvesbolt.hu érintett lapja helyett a második lépésben szereplő nepegeszseg.hu lapját kezdik terjeszteni.

Tanácsok: Ha úgy tűnik, hogy e-mailt kaptunk valamelyik szolgáltatónktól, a linkekre való kattintás/érintés helyett inkább mi magunk nyissunk meg egy böngészőt, és manuálisan gépeljük be az adott szolgáltató weboldalának címét, majd azon keresztül jelentkezzünk be a szolgáltató ügyfélfelületére! Ezzel elkerülhetjük a kiberbűnözők hamis levelekkel és webcímekkel való trükközését.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek
Megosztás