Antivírus blog

vírusok, férgek, botnetek, kártevők

Telekom számla vagy mégsem II.

2017. augusztus 24. 15:31 - Csizmazia Darab István [Rambo]

Vagy mégsem rovatunk egy igazi neverending story, mindig be tud esni valamilyen egyedi vagy érdekes hangzású hunglish spam a postafiókunkba, amelyről érdemes egy rövidebb blogposzt erejéig beszámolni. Most a korábbi trendet folytatva ismét egy Telekom-os számlatartozás érkezett, látszólag a Telekom részéről, minderről bővebbet pedig a hajtás után lehet olvasni.

Veterán olvasóink már kívülről fújják, hogy a kéretlen átverős levelek két legszembetűnőbb jele a Török Szultán vagy Fülig Jimmy nevével fémjelzett pocsék helyesírás, illetve hibás-hiányzó ékezetek, valamint a mellékelt linkre mozgatva az egeret, a mouse hover sikeresen leleplezi az ungabunga URL címet.

Nos ezeket a szimptómákat itt is teljes körűen élvezhetjük, mert bár hivatalos hangzású a levél, azért a "googletranslate alsó"-i tájszólás erősen jelen van a képletben: "Reméljük, hogy a számla kifizetését a megadott határidőn belül. Vagy az előfizetés velünk automatikusan kikapcsol. Most már fizetni a számlákat egyszerű és sima utat a bankkártya vagy a bankszámla és biztonságosan."

Mind a feladó (telekom@xxxxxxx.hu), mind pedig Az URL cím ennél icipicit szofisztikáltabb, ugyanis az a "hxxp://telekom.hu-tamogatasi-szolgaltatas-konfiguracios.fiokot.logicalpatterns.com.au" oldalra mutat, amely nyomokban mogyorót és "telekom" szavakat is tartalmazza, így tehát nem veszítette el teljesen látszólagos közszolgáltatói jellegét.

A spamben az óvatlan kattintás után egy PHP fájl a fent említett oldalra továbbítja a naiv ügyfél böngészőjét.

A weboldalra érve érdemes az eredeti és a hamis oldalt egyidejűleg szemrevételezni, és a békebeli Füles magazinból ismert "Fedezd fel az x darab különbséget a két kép között" analógiájára itt is tehetünk hasznosnak látszó észrevételeket. Ahogy már korábban írtuk, az ékezetek a weboldalon már erőteljesen hiányoznak, valamint a biztonságos https kapcsolat sem él a hasonmás oldalon.

További eltérés még az eredeti webhelyen biztosított Facebook belépési lehetőség hiánya is, és a tartalmilag rövidebb, kevesebb ("Smaller, shorter, cutted" ;-) unortodox oldalméret.

A Domaintools tanúsága szerint a megtévesztésben szereplő weboldalt egy ausztrál versenyző regisztrálta még tavaly, és ahogy látjuk, itt meglehetősen alacsony repülnek a külföldre szakadt, de magyaros csengésű Keregdjarto Sasa nevek.

Zárszónk a szokásos, a biztonságtudatos hozzáállás, odafigyelés, egészséges gyanakvás nélkülözhetetlen eleme kell legyen a biztonságunknak, ahogy erről már egy jó évtizede jóízűeket olvashattunk például Kevin Mitnick történeteiből. Linket sosem nyitunk meg kéretlen e-mailből; a bank, a szolgáltató weboldalára mindig könyvjelzőből vagy kézzel gépelve megyünk, figyelünk a https oldali lakatra, a tanúsítvány érvényességére, nem ügyintézünk nyitott wifin, stb.

Végül már csak a poszt élesítése közben érzékeltük, hogy ezt a fenti csalárd phising oldalt időközben már sikeresen lelőtték - egyébként mi is azonnal jeleztük az adathalászatot a szolgáltató felé.

16 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr7112776814

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

ROTFL Manó 2017.08.25. 01:04:06

Ne haragudj, de ezt elbaszarintottad. Mert az oké, hogy emlékeztél egy névre Rejtő Jenő: Az elátkozott part c. regényéből, DE abban nem Tuskó Hopkinsé volt a jellegzetes, nehezen értelmezhető helyesírás, hanem Török Szultáné!

Kérem javítani!

:-D

maxval bircaman bácsi szeredőci mélyelemző · http://bircahang.org 2017.08.25. 06:58:18

Én mindig megnyitom az íméles linkeket, így kiderül, hamis-e vagy sem. Sokkal egyszerűbb módszer ez így.

vpbarna74 2017.08.25. 07:38:17

Kaptam én is ilyen levelet. Bár 30-as az előhívóm, de évek óta Vodafone-os vagyok:)

ROTFL Manó 2017.08.25. 08:39:21

@maxval bircaman bácsi szeredőci mélyelemző: Még az igazi birkabaszó maxwal se ennyire hülye, hogy gondolkodás nélkül megnyisson minden linket. Te, aki lopod a profilját és a nevében posztolsz, hogy lejárasd (amit mellesleg nagyon jól teszel) te se legyél ennyire hülye.

Illetve átfogalmazom: ez most különösen aljas húzás volt, hogy ezt a ritka felelőtlen módszert ajánlod maxwalként, mert ezzel különösen nagy kárt okozhatsz a nevében. Ez most átlépett egy bizonyos határt. Eszem ágában sincs védeni az igazi birkabaszó maxwalt, ott rohadjon meg Szófiában, ahol van, de ezt most ne. Ez nagyon nagy kárt okozhat.

igazi hős 2017.08.25. 08:40:43

@ROTFL Manó: Igazad van, de Török Szultán a Három testőr Afrikában regényben tűnik fel (és levelezik sokat Csülökékkel).

Mistral1011 2017.08.25. 08:52:18

Eccer' kaptam vmi "granulálunk, ön lenni megyerte főnyerő"... Nna, mondom, ennek a címnek már úgyis annyi, beleállok... Visszaírtam, hogy hajdequrvajó, akkor örülés vagyon hogy énnekem lesz már kis vagyon. Szeretném ftp-n létölteni ide nekem enyém bankomba, lesznek szívtelelen elküldni nekem enyém kódokat belelépni letöltés.
Meg- és el-köszöntem szépen illendően. Vmi porszem kerüle a gépezetbe, mert azóta is várom a szervernév-júzernév-passzvörd szent3ságot. Néha még álmatlan éjszakáim is vannak, hogy nem juthatok hozzá a megnyereményemhez.

maxval bircaman bácsi szeredőci mélyelemző · http://bircahang.org 2017.08.25. 09:14:53

@ROTFL Manó:

Ha van kis tapasztalatod, semmi gond a linkek megnyitásával.

Ha valaki teljesen kezdő, akkor ez valóban nem ajánlott.

maxval bircaman bácsi szeredőci mélyelemző · http://bircahang.org 2017.08.25. 09:22:53

@Mistral1011:

Én gyakran válaszolok az ilyenekre.

A múlt héten is volt egy ilyen.

Nyertem másfélmillió fontot.

Válaszoltam. Kaptam igazolást a nyereményről. Űrlapokat.

Mindent alaposan kitöltöttem, hamis adatokkal, csak az ímél címnek adtam meg igazit, hogy tudjanak válaszolni.

Írtak, hogy egy bank fog kapcsolatba lépni velem.

Meg is történt: a bank bekért tőlem pár igazolást (személyi, erkölcsi bizonyítvány, adóügyi igazolás).

Mindezeket gyorsan el is készítettem kedvenc grafikai szerkesztőprogramomban, fényképnek Hitler fiatalkori, bajusz nélküli képét tettem be az igazolványba.

Értesítettek, hogy minden rendben, kész is a számlám, de még be kell fizetnem 300 font számlanyitási díjat.

Másnap elküldtem egy képet rajta 6 darab 50-fontos banjeggyel, rajta egy számsorral. Elmondtam: nálunk így szokás pénzt utalni. A pénz átvehető a Shetland-szigeteket a Royal Bank of Scotland fiókjában jelszó ellenében. De ehhez szükség van még egy közjegyző által hitelesített képre a másfél millió fontról.

Ez tegnap volt, ma várom a választ.

Netuddki. 2017.08.25. 10:13:22

Kamu-e vagy nem-e kamu az ocsmánbuleszbirkaszar, lényegtelen. Viszont a kártékony hozzászólása miatt nem kéne-e kibaszarintani innen?

Senki ne kattintgasson ész nélkül semmilyen linkre! Levélben kapottra meg főleg ne!

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2017.08.25. 10:28:13

#Helyreigazítás hashtag :-)

Egyfelől egyszerű júzerként senki valóban ne kattingasson ész nélkül ismeretlen üzenetekben kapott linkekre, ez valódi feketeöves ostobaság, az összes biztonsági összefoglaló lebeszél erről. (Más tészta biztonsági szakemberként szándékosan lehúzni wget-tel vagy demokörnyezetben lehúzni a kártékony kódot). Például ha valamilyen célzott, vagy eddig nem ismert zeroday sebezhetőséget kihasználó kód fut le nálad közben, akkor ez azért tud veszélyt hordozni magában.

Másfelől megkövetem minden Tuskó Hopkins nevű olvasónkat, mivel valóban Török Szultán barátunk írogat mindenféle "nedudgi" jellegű, a magyar nyelv, és helyesírás elleni terv- és üzemszerű merénylet fogalmát teljes mértékben kimerítő szófordulatokat, úgy hogy ezúton is nagyon köszönjük ROTFL Manónak az értékes érdemi hozzászólást :-)))

gigabursch 2017.08.25. 10:46:19

@ROTFL Manó:
De főleg Fülig Jimmyé (Jimmi?) az értelmezhetetlen hejjesírás.

Kovacs Nocraft Jozsefne 2017.08.25. 11:10:21

@maxval bircaman bácsi szeredőci mélyelemző:

Nem értelek. Mi az a 300 font a másfél milliós nyereményedhez képest? Miért vagy ilyen sóher, szerinted 300 font megspórolásáért érdemes elbukni a másfél millás nyereményedet?

Kovacs Nocraft Jozsefne 2017.08.25. 11:14:46

Egyébként én a beszkennelt bankjegyek elküldése helyett először inkább azt írtam volna vissza, hogy vonják le a 300 fontot a nyereményedből. Erre föl biztos tettek volna még egy próbálkozást és visszaírtak volna valami ürügyet, miért nem megy ez. Aztán erre föl mehetett volna a beszkennelt bankjegy. Ezzel picit több fölösleges munkát okoztál volna nekik. Így túl olcsón megúszták.

Bambano 2017.08.25. 13:43:56

én is kaptam ilyen levelet, az enyémben egy zalaegerszegi webszerverre mutatott a link.
amit azért gondolok kínosnak, mert ebből számomra következik, hogy a webszervert is felnyomták és rárakták a phising szoftverét.

szóltam nekik, válasz nem jött. mondjuk a tek se...

ROTFL Manó 2017.08.25. 15:28:34

@igazi hős: Látom, te se vagy tisztában Rejtő életművével. Ugyanazok a szereplők vannak Az elátkozott partban és a Három testőr Afrikában c. művekben, de akkor is Az elátkozott part sztorija van kronológiailag előbb, ha fejre állsz, akkor is. Sok a visszautalás a Három testőrben az előző részre. Török Szultán már az első részben is feltűnik és levelezik Csülökkel a jellegzetes helyesírásával.

Kovacs Nocraft Jozsefne 2017.08.25. 17:09:07

@Bambano:

Szerencséd volt, de nem biztos, hogy legközelebb is az lesz, ha ilyen felelőtlen vagy, hogy jelenteni merészelsz egy problémát.

Vagy 10 évvel ezelőtt egyszer egy mp3-at ígérő link egy magyar nyelvű gyerekpornó oldalra vitt. Ránézésre 8-10 éves gyerekek voltak rajta a legocsmányabb helyzetekben, szóval tényleg gyerekpornó volt, nem az a fajta, ahol a koruknál fiatalabbnak kinéző, de már nagykorúak ("barely legal") vannak. Nagyon erősen gondolkodtam, hogy bejelentem a rendőrségen, végül aztán valami megérzésre hagyatkozva nem tettem.

Pár évvel később olvastam, hogy ilyen esetekben a bejelentő számítógépét bizonyítékként lefoglalják. Na az b***ott volna be, hogy aztán évekkel kapjam visszaa gépemet.