ΠΡΟΣΟΧΗ: Έτσι "ψαρεύουν" τα ηλεκτρονικά στοιχεία πελατών από την Τράπεζα Πειραιώς

Μέσω του Golden Hall η ηλεκτρονική απάτη!

Οι ηλεκτρονικοί απατεώνες έχουν στήσει ένα άψογα οργανωμένο δίκτυο "ψαρέματος" (phishing) των αριθμών λογαριασμού αλλά και των PIN ανυποψίαστων πελατών της Τράπεζας Πειραιώς, με αποτέλεσμα να αδειάζουν τους λογαριασμούς, χωρίς να καταλάβουν το παραμικρό! Διαβάστε πώς το έκαναν βήμα - βήμα, με Screenshots....



Την έρευνα και την αποκάλυψη της απάτης δεν έκανε η αστυνομία αλλά η συντακτική ομάδα του εξαιρετικού και φιλικού στο planet-greece site τεχνολογίας SecNews.gr.

Το Phishing είναι κάτι συνηθισμένο πλέον, και ούτε λίγο ούτε πολύ όλοι έχουμε δεχθεί αντίστοιχα μηνύματα (δείτε σχετικά Phishing στην Cosmote πριν λίγο καιρό).

Το Phishing e-mail απεστάλη όπως διαπιστώσαμε μαζικά σε χιλιάδες χρήστες, ενώ ένας από τους πολλούς παραλήπτες που είχαν στοχοποιηθεί ήταν και η ηλεκτρονική e-mail επικοινωνίας του SecNews (!) (info – at – secnews.gr).

Ο τρόπος της επίθεσης από την πλευρά του χρήστη

Στόχος των ηλεκτρονικών απατεώνων είναι όπως διαπιστώσαμε να υποκλέψουν προσωπικά δεδομένα, στοιχεία καρτών και κωδικούς e-banking από χρήστες του διαδικτύου. Το e-mail που εστάλη σε πολλαπλούς παραλήπτες είναι το παρακάτω:



Οι αποστολείς προτρέπουν τους χρήστες να κάνουν “κλικ” στον υπερσύνδεσμο μιας και όπως αναφέρουν “παρατηρήθηκε ύποπτη κίνηση στην χρήση της πιστωτικής σας κάρτας που είναι συνδεδεμένη με τον λογαριασμό”.

Σε περίπτωση που ο εκάστοτε ανυποψίαστος χρήστης κλικάρει στον υπερσύνδεσμο θα μεταφερθεί σε μια ιστοσελίδα που ομοιάζει με την ιστοσελίδα της Τράπεζας Πειραιώς (είναι τοποθετημένη στο εξωτερικό σε Server με IP διεύθυνση 69.170.36.140 που οι χάκερς έχουν αποκτήσει μη εξουσιοδοτημένη πρόσβαση). Δείτε το σχετικό Screenshot μόλις “κλικάραμε”:

Παρατηρούμε ότι στα αριστερά ζητάει UserID, PIN και extraPIN. Αν εισάγουμε οτιδήποτε στην παραπάνω φόρμα οδηγούμαστε στην επόμενη ιστοσελίδα όπου μας ζητά τον αριθμό της πιστωτικής μας κάρτας. Δείτε σχετικά στο επόμενο ScreenShot:

Μόλις ο χρήστης τοποθετήσει και τον αριθμό της πιστωτικής του κάρτας η ιστοσελίδα ανακατευθύνει στην πραγματική ιστοσελίδα της Τράπεζας Πειραιώς, υποδηλώνοντας ότι η διαδικασία ολοκληρώθηκε επιτυχώς. Στην πραγματικότητα οτιδήποτε στοιχεία έχει πληκτρολογήσει ο χρήστης στα πεδία (κωδικούς, πιστωτική κάρτα κλπ) έχουν μεταφερθεί στα χέρια των ηλεκτρονικών απατεώνων εν αγνοία του.



Τεχνική Ανάλυση απο την ομάδα του SecNews

Το SecNews με την βοήθεια εθελοντών ειδικών ασφάλειας προχώρησε στην τεχνική ανάλυση της επίθεσης. Τα αποτελέσματα είναι άκρως ενδιαφέροντα και είναι σίγουρο ότι χρήζουν ΑΜΕΣΗΣ, ενδελεχούς και περαιτέρω έρευνας από το τμήμα ασφάλειας της Τράπεζα σε συνεργασία με τις αρμόδιες διωκτικές αρχές.

- Παραθέτουμε την διαδρομή του ηλεκτρονικού μηνύματος όπως απεστάλη στους ανυποψίαστους χρήστες. Αναλύουμε τα ηλεκτρονικά ίχνη (σ.σ. τα ακριβή στοιχεία του ηλεκτρονικού μηνύματος είναι διαθέσιμα προς πάσα ενδιαφερόμενο):

Τα δεδομένα που πηγάζουν από την παραπάνω ανάλυση είναι: (α) το e-mail υποδηλώνει ως προέλευση την ηλεκτρονική διεύθυνση info@piraeus.gr (β) Για την αποστολή του χρησιμοποιήθηκε Microsoft Outlook Express (γ) το μήνυμα δε εντοπίστηκε από τα φίλτρα Antispam και Antivirus και κατέφθασε κατευθείαν στο Inbox (δ) ο τερματικός σταθμός προέλευσης του μηνύματος που χρησιμοποιήθηκε χρησιμοποιεί Κυριλικό αλφάβητο κωδικοσελίδα Windows – 1251 γεγονός που υποδηλώνει ότι ο αρχικός σταθμός αποστολής του μηνύματος διαθέτει ενεργοποιημένη την Ρώσικη, Βουλγάρικη ή Σέρβικη γλώσσα  (ε) χρησιμοποιήθηκε ο εξυπηρετητής στο μπλέ πλαίσιο για την τελική αποστολή. Ο εν λόγω τελικός κόμβος αποστολής του μηνύματος έχει IP διεύθυνση 79.129.7.97

- Προχωρήσαμε σε ανάλυση της τελευταίας IP διεύθυνσης

Το ηλεκτρονικό ίχνος υποδηλώνει την λέξη lamd42 (Lamda πιθανόν), μια DSL γραμμή στο δίκτυο της ΟΤΕΝΕΤ. Σε ποίον ανήκει όμως αυτή η DSL γραμμή?

Οι ειδικοί σύμβουλοι του SecNews, εντόπισαν άμεσα με χρήση του προγράμματος Remote Desktop των Windows ότι η εν λόγω DSL γραμμή βρίσκεται σε εξυπηρετητή εντός του Golden Hall !!! (εξού και το lamd42 από το Lamda Development που αποτελεί την εταιρεία διαχείρισης του Golden Hall)! Αναρτούμε το παρακάτω Screenshot ως απόδειξη των ανωτέρω:

- Και οι εκπλήξεις δεν έχουν τέλος! Ο εξυπηρετητής (Server) που έχουν θέσει υπό τον έλεγχό τους οι ηλεκτρονικοί απατεώνες και καταχωρούν τα στοιχεία υποκλοπής από την Τράπεζα Πειραιώς (πιστωτικές κάρτες, κωδικούς κλπ) ανήκει σε μεγάλο Δικηγορικό Γραφείο του Oakland της Καλιφόρνια και συγκεκριμένα στο Scott Cole & Associates [ιστοσελίδα εδώ], φυσικά εν αγνοία τους!

Συμπεράσματα – Διαπιστώσεις

Το παράδοξο της νέας αυτής επίθεσης Phishing, είναι το γεγονός ότι το τελικό ηλεκτρονικό ίχνος της επίθεσης εναντίον Ελληνικής Τράπεζας εντοπίστηκε εντός της Ελληνικής επικράτειας και συγκεκριμένα εντός ενός πολύ γνωστού πολυκαταστήματος. Θεωρούμε ότι ο server/εξυπηρετητής που εντόπισαν οι εθελοντές ειδικοί-ασφάλειας, έχει πέσει θύμα κακόβουλης επίθεσης (δεν μπορούμε να φανταστούμε ότι ένας εργαζόμενος στο Golden Hall θα αποστέλλει Phishing μηνύματα στις 4.00 τα ξημερώματα!). Επιπλέον η ώρα αποστολής του κακόβουλου e-mail είναι σημαντική μιας και επέλεξαν τα ξημερώματα ώστε τα υποψήφια θύματα να παραλάβουν το κακόβουλο μήνυμα μέσα στα πρώτα παραληφθέντα κατά την έναρξη της πρωινής τους εργασίας σε εταιρείες και οργανισμούς.

Σε κάθε περίπτωση οι ηλεκτρονικοί απατεώνες χρησιμοποίησαν τις υποδομές του Golden Hall για να εξαπολύσουν την επίθεσή τους και να αποκρύψουν τα ίχνη τους.

Είναι πιθανό η πρόσβαση στον εξυπηρετητή να μην επετεύχθη μέσω Internet αλλά μέσω ασυρμάτων δικτύων πρόσβασης, κάτι που οι αρμόδιοι πρέπει σίγουρα να εξετάσουν με διάφορους τρόπους. Επιπλέον ο εξυπηρετητής που χρησιμοποιήθηκε για την μαζική αποστολή των ηλεκτρονικών μηνυμάτων θα πρέπει να αναλυθεί για ψηφιακά πειστήρια (Forensics Analysis) ώστε να διαπιστωθεί ο ακριβής τρόπος και η προέλευση των μηνυμάτων.

Η Τράπεζα Πειραιώς, που σίγουρα διαθέτει υψηλή γνώση στην αντιμετώπιση τέτοιων περιστατικών, θα πρέπει να προχωρήσει στις προβλεπόμενες ενέργειες για τέτοιες περιπτώσεις ώστε να θέσει εκτός λειτουργίας την Phishing ιστοσελίδα που έχουν “σηκώσει” στον εξυπηρετητή οι ηλεκτρονικοί απατεώνες.

Λόγω της πολυπλοκότητας και της εμπλοκής πλήθους φορέων σε Ελλάδα και εξωτερικό αναφορικά με την επίθεση, θεωρούμε ότι είναι κάτι περισσότερο από επιβεβλημένη η εμπλοκή των διωκτικών αρχών ώστε να εντοπιστεί το ακριβές μέγεθος της ζημιάς που προκλήθηκε από το εξειδικευμένο Phishing attack.

Διαβάστε κι άλλες λεπτομέρειες ΕΔΩ