CITYBANK E-MAIL FRAUD - Security Update ( typická ukázka PHISHINGu )
První výskyt: 05.2004
Subject: Security Update
Valued Citibank client
In our bank we value our clients and money, thats why we have to upgrade our database. The upgrade requires our costumers to update their debit/credit card information to avoid problems in our ATM services.
The reson to this upgrade is that we want to be well prepared for the smartcard upgrade on VISA creditcards. The smarcards reads a different type of encryption from our databases wich is more secure than the old type.
Please update your debit/credit card information as soon as possible.
Click on this link to verify: http://www.securityupdate.citibank.com/secure/
Volný překlad podvodného e-mailu:
Vážený Citibank kliente
V naší bance, kde si ceníme našich klientů a peněz, jsme nuceni aktualizovat naši databázi. Aktualizace vyžaduje vaši spolupráci a poskytnutí informací o vašich platebních kartách. Tím se vyhnete problémům se službami v našich bankomatech.
Smyslem celé aktualizace je to, že chceme být dobře připraveni na aktualizaci ze smartcard na VISA. Nové karty čtou různé typy kódů v našich databází jsou bezpečnější než starý typ.
Prosím aktualizace váše informace kartově co nejdříve.
Informace zadejte ve formuláři na tomto linku:
http://www.securityupdate.citibank.com/secure/ (pozn. provede přesměrování na http://218.36.71.193/secure/)
Valued Citibank client
In our bank we value our clients and money, thats why we have to upgrade our database. The upgrade requires our costumers to update their debit/credit card information to avoid problems in our ATM services.
The reson to this upgrade is that we want to be well prepared for the smartcard upgrade on VISA creditcards. The smarcards reads a different type of encryption from our databases wich is more secure than the old type.
Please update your debit/credit card information as soon as possible.
Click on this link to verify: http://www.securityupdate.citibank.com/secure/
Volný překlad podvodného e-mailu:
Vážený Citibank kliente
V naší bance, kde si ceníme našich klientů a peněz, jsme nuceni aktualizovat naši databázi. Aktualizace vyžaduje vaši spolupráci a poskytnutí informací o vašich platebních kartách. Tím se vyhnete problémům se službami v našich bankomatech.
Smyslem celé aktualizace je to, že chceme být dobře připraveni na aktualizaci ze smartcard na VISA. Nové karty čtou různé typy kódů v našich databází jsou bezpečnější než starý typ.
Prosím aktualizace váše informace kartově co nejdříve.
Informace zadejte ve formuláři na tomto linku:
http://www.securityupdate.citibank.com/secure/ (pozn. provede přesměrování na http://218.36.71.193/secure/)
 Takto vypadá podvodný e-mail, rozeslaný na velké množství adres. |
Poznámka redaktora
Analýza podvodu:
V současné době je již stránka podvodníků zrušena, ale před tím se mi podařilo provést dokumentaci celého podvodu a ukázat Vám, jejich princip.
1)
V podvodné zprávě je využito sociální inženýrství, kdy je uživateli vysvětleno, že banka připravuje vylepšení systému a aby se vyhnul případným problémům při použití bankomatu, je dobré bance sdělit určité údaje. Přestože je tato žádost nesmyslná, najde několik důvěřivců, kteří se nachytají - různé statistiky uvádějí 5-8%.
2)
V e-mailu je uveden link, na který se má kliknout a tím by měl uživatel vstoupit na stránku banky. Přestože text odkazu v e-mailu vypadá, že uživatel bude přesměrován na server banky, skutečné přesměrování bude provedeno jinam, jak se můžete podívat na detailu. Skutečný příkaz je jiný než v zobrazovaný text. To samo ještě nic neznamená, protože oba zápisy mohou být správné. Ale v tomto případě IP adresa (číselný kód) je jiná než skutečná IP adresa serveru CITIBANK.COM!
3)
Odkaz v e-mailu přesměruje na stránku podvodníků (jej již zrušena). Zde je její původní vzhled. Styl se nápadně podobá originální stránce banky, proto nepozorný návštěvník si ani nemusí uvědomit, že je na cizím serveru. Po uživateli bylo požadováno, aby ve formuláři vyplnil důvěrné informace o jeho platební kartě. Pak už by podvodníkům nebránilo nic v její zneužití. Někteří si možná všimnuli, že spojení se serverem, je po protokolu http a ne https, jak je u důvěrných informací obvyklé.
4)
Pomocí programu NeoTrace jsem si ověřil umístění obou serverů. Zatímco pravý server CITIBANK.COM se nachází v USA, stránky, kde byly požadovány důvěrné informace byly umístěny na serveru v Korei.
Celý způsob podvodu je velice jednoduchý. Stačí notná dávka drzosti spojená s lidskou naivitou a o malér je postaráno. Podvodný e-mail, který jsem zde rozebral není jediný svého druhu. Na stránkách CITY banky je i formulář pro ohlašování podezřelých zpráv.
V současné době je již stránka podvodníků zrušena, ale před tím se mi podařilo provést dokumentaci celého podvodu a ukázat Vám, jejich princip.
1)
V podvodné zprávě je využito sociální inženýrství, kdy je uživateli vysvětleno, že banka připravuje vylepšení systému a aby se vyhnul případným problémům při použití bankomatu, je dobré bance sdělit určité údaje. Přestože je tato žádost nesmyslná, najde několik důvěřivců, kteří se nachytají - různé statistiky uvádějí 5-8%.
2)
V e-mailu je uveden link, na který se má kliknout a tím by měl uživatel vstoupit na stránku banky. Přestože text odkazu v e-mailu vypadá, že uživatel bude přesměrován na server banky, skutečné přesměrování bude provedeno jinam, jak se můžete podívat na detailu. Skutečný příkaz je jiný než v zobrazovaný text. To samo ještě nic neznamená, protože oba zápisy mohou být správné. Ale v tomto případě IP adresa (číselný kód) je jiná než skutečná IP adresa serveru CITIBANK.COM!
3)
Odkaz v e-mailu přesměruje na stránku podvodníků (jej již zrušena). Zde je její původní vzhled. Styl se nápadně podobá originální stránce banky, proto nepozorný návštěvník si ani nemusí uvědomit, že je na cizím serveru. Po uživateli bylo požadováno, aby ve formuláři vyplnil důvěrné informace o jeho platební kartě. Pak už by podvodníkům nebránilo nic v její zneužití. Někteří si možná všimnuli, že spojení se serverem, je po protokolu http a ne https, jak je u důvěrných informací obvyklé.
4)
Pomocí programu NeoTrace jsem si ověřil umístění obou serverů. Zatímco pravý server CITIBANK.COM se nachází v USA, stránky, kde byly požadovány důvěrné informace byly umístěny na serveru v Korei.
Celý způsob podvodu je velice jednoduchý. Stačí notná dávka drzosti spojená s lidskou naivitou a o malér je postaráno. Podvodný e-mail, který jsem zde rozebral není jediný svého druhu. Na stránkách CITY banky je i formulář pro ohlašování podezřelých zpráv.
 1) Podvodný e-mail, ve kterém jsou osloveni klienti Citibanky. Tento požadavek je podezřelý a je jisté, že žádná banka by své klienty o něco podobného nežádala. |
 2) Ve zdrojovém kódu zprávy je detail odkazu. Vidíme, že příkaz pro provedení linku je jiný než jaký se zobrazuje v textu zprávy. (Oba zápisy mohou teoreticky ukazovat na stejné místo, ale v tomto případě tajně přesměrovává na cizí server.) |
 3) Po kliknutí na odkaz v e-mailu se dostaneme na falešnou stránku, udělanou ve stylu CITY banky. Je to formulář pro vyplnění důležitých neveřejných informací o kartě, které je pak možné dále zneužít. |
 4) Pro porovnání - takto vypadá pravá stránka CITYBANK.COM |
 5) Například pomocí Traceroute můžeme zjistit cestu k falešnému serveru. |
 6) A takto vypadá trasování pravého serveru. |
 7) Na mapě nás falešný odkaz zavede do Koreje. |
 8) A správný odkaz na citibank.com do USA. |
Buďte opatrní!
Internet je obrovským zdrojem svobodných informací, ale tato svoboda zároveň dává mnoha podvodným živlům velký prostor pro vyvíjení různých podvodných aktivit.
Internet je obrovským zdrojem svobodných informací, ale tato svoboda zároveň dává mnoha podvodným živlům velký prostor pro vyvíjení různých podvodných aktivit.
Analýza podvodu:
1)
V podvodné zprávě je využito sociální inženýrství, kdy je uživateli vysvětleno aby se vyhnul případným problémům při použití bankomatu, je dobré bance sdělit určité údaje. Přestože je tato žádost nesmyslná, vyplývá z různých statistik, že až 5% oslovených uživatelů své údaje vyplní.
2)
V e-mailu je uveden link, na který se má kliknout a tím by měl uživatel vstoupit na stránku banky. Přestože text odkazu v e-mailu vypadá, že uživatel bude přesměrován na server banky, skutečné přesměrování bude provedeno na jiné místo.
3)
Odkaz v e-mailu přesměruje na stránku podvodníků udělanou ve stejném stylu, jako je originální stránka banky a proto nepozorný návštěvník si ani nemusí uvědomit, že je na cizím serveru. Po uživateli je požadováno, aby ve formuláři vyplnil důvěrné informace o jeho platební kartě. Pak už by podvodníkům nebránilo nic v její zneužití.
Celý způsob podvodu je velice jednoduchý. Stačí notná dávka drzosti spojená s lidskou naivitou a o malér je postaráno.
Známé rčení "OPATRNOSTI NENÍ NIKDY DOST" platí na internetu mnohonásobně.
1)
V podvodné zprávě je využito sociální inženýrství, kdy je uživateli vysvětleno aby se vyhnul případným problémům při použití bankomatu, je dobré bance sdělit určité údaje. Přestože je tato žádost nesmyslná, vyplývá z různých statistik, že až 5% oslovených uživatelů své údaje vyplní.
2)
V e-mailu je uveden link, na který se má kliknout a tím by měl uživatel vstoupit na stránku banky. Přestože text odkazu v e-mailu vypadá, že uživatel bude přesměrován na server banky, skutečné přesměrování bude provedeno na jiné místo.
3)
Odkaz v e-mailu přesměruje na stránku podvodníků udělanou ve stejném stylu, jako je originální stránka banky a proto nepozorný návštěvník si ani nemusí uvědomit, že je na cizím serveru. Po uživateli je požadováno, aby ve formuláři vyplnil důvěrné informace o jeho platební kartě. Pak už by podvodníkům nebránilo nic v její zneužití.
Celý způsob podvodu je velice jednoduchý. Stačí notná dávka drzosti spojená s lidskou naivitou a o malér je postaráno.
Známé rčení "OPATRNOSTI NENÍ NIKDY DOST" platí na internetu mnohonásobně.
Adresa stránky: http://www.hoax.cz/phishing/citybank-e-mail-fraud---security-update---typicka-ukazka-phishingu-/
Alternativní odkaz: http://www.hoax.cz/index.php?section=phishing&action=hoax_detail&id=235
Alternativní odkaz: http://www.hoax.cz/index.php?section=phishing&action=hoax_detail&id=235
