Sain eilen "Nordean" lähettämän tietoturvantarkistusemailin, josta on viime aikoina uutisoitukin.
Emailin linkki ko. feikki-sivuille toimi vielä kymmenen uutisten aikaan ja johti allamainitulle sivuille:
http://83.227.192.48:8081/
Tänään sivut on vihdoin hävinneet näkymättömiin netistä.
0. Minkähänvuoksi ko. sivujen blokkaus tms. kesti noinkin kauan?
1. Ovatko rikolliset itse sulkeneet serverin vai toimivatko esim. suomalaiset viranomaiset tällaisissa tapauksissa aktiivisesti. Veikkailtiin että ko sivut WHOIS:n mukaan johtaisivat Hollantiin.
2. nykyiseen sähköpostiosoitteeseeni tulee hyvin vähän roskapostia (n. 1-5 kpl/vko). Mistähän nämä "nordealaiset" ovat poimineet juuri osoitteeni postituslistalleen? Ehkä osoite löytyy joltain sivulta netistä? Onko joitain muita systemaattisia järjestelmiä joilla esim helsinki.fi -osoitteita voidaan luetteloida rikollisiin tarkoituksiin?
Safari can’t open the page.
Safari could not open the page “http://83.227.192.48:8081/” because the
server stopped responding. --> hyvä näin!
"Nordean" feikkisivut
-
tkt
- Viestit: 2505
- Liittynyt: 23.11.2004 klo 20.02
- Paikkakunta: Oulu
Re: "Nordean" feikkisivut
Sivut näkyvät taas, eli ei ole blokattu.strong kirjoitti:Sain eilen "Nordean" lähettämän tietoturvantarkistusemailin, josta on viime aikoina uutisoitukin.
Emailin linkki ko. feikki-sivuille toimi vielä kymmenen uutisten aikaan ja johti allamainitulle sivuille:
http://83.227.192.48:8081/
Tänään sivut on vihdoin hävinneet näkymättömiin netistä.
0. Minkähänvuoksi ko. sivujen blokkaus tms. kesti noinkin kauan?
1. Ovatko rikolliset itse sulkeneet serverin vai toimivatko esim. suomalaiset viranomaiset tällaisissa tapauksissa aktiivisesti. Veikkailtiin että ko sivut WHOIS:n mukaan johtaisivat Hollantiin.
2. nykyiseen sähköpostiosoitteeseeni tulee hyvin vähän roskapostia (n. 1-5 kpl/vko). Mistähän nämä "nordealaiset" ovat poimineet juuri osoitteeni postituslistalleen? Ehkä osoite löytyy joltain sivulta netistä? Onko joitain muita systemaattisia järjestelmiä joilla esim helsinki.fi -osoitteita voidaan luetteloida rikollisiin tarkoituksiin?
Safari can’t open the page.
Safari could not open the page “http://83.227.192.48:8081/” because the
server stopped responding. --> hyvä näin!
Serveriä ei liene suljettu lainkaan, vaan vasteajat ovat nouseet pidemmäksi kuin web-selaimen aikakatkaisuasetus. Kun sivut ovat olleet esillä mediassa, niin kaikki ovat tietenkin menneet katsomaan millaiselta ne oikein näyttävät. Tässä on sitten hyvä mahdollisuus ko. sivuston ylläpitäjälle kerätä osoitteita myöhempää käyttöä varten.
Luultavimmin viestejä ei ole lähetetty vain Nordean asiakkaille, vaan kaikki mahdollisissa maissa olevat spammaajan tuntemat osoitteet ovat saaneet osuutensa tästä yrityksestä. Osoitteita on myytävänä netissä CD-levyillä tai muutenkin. Hintoina on näkynyt esim. puolen miljoonan osoitteen erästä $20. Halvalla menee. Luettelosta on sitten helppo etsiä mahdollisia osoitteita tähänkin yritykseen.
Luetteloihin osoitteet päätyvät esimerkiksi web-sivustoilta hakukoneiden avulla tai sitten niiden kuuluisien Windows-sähköpostimatojen avulla.
Aika läpinäkyvä tiedonkeruuyritys mainittu sivusto on. Tosin varmasti löytyy käyttäjiä, jotka vastaavat kaikkiin web-kyselyihin mitään ajattelematta. Jos pankkien ja tietojärjestelmien toimintaperiaatteita ei ymmärretä, niin tällöin tulee helposti huiputetuksi. Web-sivut voivat joskus olla todella vakuuttavia ja vetoavia. Social Engineering on uskomattoman tehokasta, melkein päivittäin joutuu itselleen muistuttamaan, ettei vastapuolen identiteetistä ole oikeasti varmuutta.
--Ari
-
strong
- Viestit: 4885
- Liittynyt: 20.2.2004 klo 23.21
Re: "Nordean" feikkisivut
CERT-FI varoitus 75/2005
28.10.2005
LAAJA HUIJAUSYRITYS SUOMALAISEN VERKKOPANKIN KÄYTTÄJIÄ KOHTAAN
Ensimmäinen suomalaiseen verkkopankkiin kohdistunut laajamittainen
huijausyritys eli ns. phising-hyökkäys on tapahtunut: Nordea-pankin
suomalaisia asiakkaita on yritetty saada luovuttamaan
verkkopankkiasiointiin käytettäviä tunnuslukuja heille
lähetettyjen huijaussähköpostiviestien avulla.
Englanninkielisissä huijausviesteissä käyttäjiä on pyydetty antamaan
tiliinsä liittyvät tunnukset ja kertakäyttösalasanat huijaussivustolla
olevalle lomakkeelle. Lomake pyydetään täyttämään sähköpostiviestissä
olevan linkin kautta, mikä johtaa englanninkieliselle Nordean
internet-sivujen kaltaiselle huijaussivustolle. Lomakkeella kysytään
verkkopankkin kirjautumistunnusten lisäksi myös
transaktion vahvistustunnuksia.
Huijaussivustoja on useissa eri osoitteissa. CERT-FI koordinoi
huijaussivustojen sulkemisoperaatiota.
HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:
Ensimmäinen suomalaiseen verkkopankkiin kohdistunut huijausyritys
kohdistui Nordea-verkkopankin käyttäjiin. Tulevat huijausyritykset
voivat kohdistua minkä tahansa suomalaisen verkkopankin käyttäjiin.
RATKAISU/RAJOITUSMAHDOLLISUUDET:
Rahoituslaitokset eivät koskaan ota asiakkaisiin yhteyttä sähköpostitse
kysyäkseen asiakkaalta verkkopankkitunnuksia tai muuta luottamuksellista
tietoa.
Älä koskaan anna mitään verkkopankkitunnuksia, luottokorttinumeroita,
henkilötietoja tai muita vastaavia tietoja sivustolle, johon olet
siirtynyt sähköpostiviestin linkin kautta.
LISÄTIETOA/TIETOLÄHTEET:
CERT-FI on saanut lukuisia yhteydenottoja tapauksen johdosta.
CERT-FI kiittää kaikkia niitä tahoja, jotka ovat välittömästi
ottaneet yhteyttä asian johdosta.
CERT-FI -YHTEYSTIEDOT:
Viestintävirasto
CERT-FI
PL 313
00181 Helsinki
Sähköposti: cert@ficora.fi
PGP-avain: http://www.ficora.fi/suomi/tietoturva/CERT-FI.asc
Puhelin: (09) 6966 510
Faksi: (09) 6966 515
----------------------------------
--
Kenneth Kahri
Tietoturvakoordinaattori
Tietotekniikkaosasto
PL 53 (Fabianinkatu 28), 00014 Helsingin yliopisto
puhelin (09) 191 24481
28.10.2005
LAAJA HUIJAUSYRITYS SUOMALAISEN VERKKOPANKIN KÄYTTÄJIÄ KOHTAAN
Ensimmäinen suomalaiseen verkkopankkiin kohdistunut laajamittainen
huijausyritys eli ns. phising-hyökkäys on tapahtunut: Nordea-pankin
suomalaisia asiakkaita on yritetty saada luovuttamaan
verkkopankkiasiointiin käytettäviä tunnuslukuja heille
lähetettyjen huijaussähköpostiviestien avulla.
Englanninkielisissä huijausviesteissä käyttäjiä on pyydetty antamaan
tiliinsä liittyvät tunnukset ja kertakäyttösalasanat huijaussivustolla
olevalle lomakkeelle. Lomake pyydetään täyttämään sähköpostiviestissä
olevan linkin kautta, mikä johtaa englanninkieliselle Nordean
internet-sivujen kaltaiselle huijaussivustolle. Lomakkeella kysytään
verkkopankkin kirjautumistunnusten lisäksi myös
transaktion vahvistustunnuksia.
Huijaussivustoja on useissa eri osoitteissa. CERT-FI koordinoi
huijaussivustojen sulkemisoperaatiota.
HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:
Ensimmäinen suomalaiseen verkkopankkiin kohdistunut huijausyritys
kohdistui Nordea-verkkopankin käyttäjiin. Tulevat huijausyritykset
voivat kohdistua minkä tahansa suomalaisen verkkopankin käyttäjiin.
RATKAISU/RAJOITUSMAHDOLLISUUDET:
Rahoituslaitokset eivät koskaan ota asiakkaisiin yhteyttä sähköpostitse
kysyäkseen asiakkaalta verkkopankkitunnuksia tai muuta luottamuksellista
tietoa.
Älä koskaan anna mitään verkkopankkitunnuksia, luottokorttinumeroita,
henkilötietoja tai muita vastaavia tietoja sivustolle, johon olet
siirtynyt sähköpostiviestin linkin kautta.
LISÄTIETOA/TIETOLÄHTEET:
CERT-FI on saanut lukuisia yhteydenottoja tapauksen johdosta.
CERT-FI kiittää kaikkia niitä tahoja, jotka ovat välittömästi
ottaneet yhteyttä asian johdosta.
CERT-FI -YHTEYSTIEDOT:
Viestintävirasto
CERT-FI
PL 313
00181 Helsinki
Sähköposti: cert@ficora.fi
PGP-avain: http://www.ficora.fi/suomi/tietoturva/CERT-FI.asc
Puhelin: (09) 6966 510
Faksi: (09) 6966 515
----------------------------------
--
Kenneth Kahri
Tietoturvakoordinaattori
Tietotekniikkaosasto
PL 53 (Fabianinkatu 28), 00014 Helsingin yliopisto
puhelin (09) 191 24481
