OTP- és Telekom-adatok lopásában érintett egy egyetem, egy könyvesbolt és egy gázszerelő vállalkozás

Trükkös adathalász hálózatra bukkantunk a minap a víruslaborunk egyik bejelentésének köszönhetően: A Telekom-adatokat lopó levelet egy könyvesbolt küldi az áldozatoknak, a levélben található bejelentkező gomb az egyik legnagyobb egyetem egyik oldalára irányít, ami végül továbbdob egy gázszerelő vállalkozás weboldalára, amin egy, az igazival szinte teljesen megegyező, viszont adatokat lopó Telekom és OTP oldal fut.

Megjegyzés: Az itt bemutatott adathalász hálózatot sérülékenységvizsgálat nélkül, egyszerű továbbkattintásokkal térképeztük fel. Az érintett szervezeteket már értesítettük, viszont kötelességünknek érezzük a jelentés azonnali publikálását az internetezők védelme érdekében.

A víruslaborunk e-mail címére (vizsgalat@makay.net) küldött levél látszólag teljesen megegyezik a Telekom leveleivel, csak a szöveg figyelmes elolvasásával tűnik fel, hogy azt bizonyára Google Fordító segítségével fordították klingonról vagy vogonról magyarra.

A levélben az alig érthető, de a témához kapcsolódó magyar kifejezéseket tartalmazó szöveg végén ott a hatalmas, Telekom-színű befizetés gomb, amire a figyelmetlen és/vagy rutinból kattintó felhasználók kapásból rányomnak.

Phishing

A gomb a nem sokkal ezelőtt törölt L&L Könyvesbolt weboldalának hírlevél-feliratkozó oldalára irányít – bizonyára olvasták a néhány órával ezen sorok írása előtt kiküldött felhívásunkat.

Viszont a folyamat itt nem áll meg, ugyanis a lap átirányít a Debreceni Egyetem Népegészségügyi Karának egy mára teljesen elhanyagolt weboldalára – az www.nk.unideb.hu jelenleg is hivatkozik erre az oldalra.

Base64

Unideb

A nepegeszseg.hu-ra feltehetően illetéktelenek által feltöltött index.php azonnal továbbirányít a Zala-Javszer Kft. weboldalára, aminek egyik lapját a kiberbűnözők szintén eltérítették és amire az adathalászatra kifejlesztett, hamis Telekom-bejelentkezőt töltötték fel.

Curl

Telekom

A Belépek gombra kattintva a bejelentkezési adatok szintén a gázszerelő vállalkozás tárhelyén elhelyezett vegeta.php oldalnak mennek, ami továbbdob a teljes.php lapra. Ezen a lapon már egy OTP adathalász oldal található, szóval sejthető, hogy az egész folyamatban ez a legfontosabb rész, hiszen a bűnözők ezzel OTP belépési adatokat szerezhetnek meg.

OTP

Bár a kiindulási pontként szolgáló L&L Könyvesbolt már törlésre került, ez még nem jelenti azt, hogy a fent bemutatott adathalászási folyamat ellehetetlenítésre került, hiszen a támadóknak csupán annyi a dolguk, hogy az llkonyvesbolt.hu érintett lapja helyett a második lépésben szereplő nepegeszseg.hu lapját kezdik terjeszteni.

Tanácsok: Ha úgy tűnik, hogy e-mailt kaptunk valamelyik szolgáltatónktól, a linkekre való kattintás/érintés helyett inkább mi magunk nyissunk meg egy böngészőt, és manuálisan gépeljük be az adott szolgáltató weboldalának címét, majd azon keresztül jelentkezzünk be a szolgáltató ügyfélfelületére! Ezzel elkerülhetjük a kiberbűnözők hamis levelekkel és webcímekkel való trükközését.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Forráskód-vizsgálat, code review

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

Kártevővizsgálat speciális környezetben

GDPR tanácsadás és felkészítés

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás