Szinte nincs nap, hogy valamelyik magyarországi bank ellen ne indulna phishing támadási kísérlet. Ezúttal a Magyar Külkereskedelmi Bank került célkeresztbe, de Déri Jánossal szólva szerencsére a gyenge minőségű adathalász próbálkozásért akár járhatna a Pocsék Áruk Fóruma díj.

Két kéretlen levél is érkezett a postafiókunkba, az első még a gagyi szintet is csak alulról próbálta meg súrolni, tegyük hozzá sikertelenül. Ebben az e-mail trace alapján egy németországi IP címről (Hessen, Frankfurt am Main) írtak mindössze annyit egy "Re Egy bejövő fizetés jelenleg függőben van" tárgysorú levélben, hogy: "Új üzenete érkezett, lásd a mellékletet".

Megszólítás nuku, aláírás nuku, a címzettnél látszik, hogy tömegesen kiküldött körlevélről van szó, a mellékletében pedig egy .PDF kiterjesztésű állomány, amelyre a VirusTotal 71 motorja közül egyik sem riasztott.

Így ez nem is érdemel több figyelmet, rátérhetünk a második üzenetre, a mesterbűnözők szemlátomást igyekeztek javítgatni a tákolmányukat. Ebből született immár a mai, most már nyárinak számító júniusi levél, "Egy bejövo fizetés jelenleg függoben van" tárgysorral.

Gyenge magyarság, hiányzó ékezetek, és megint csak tömeges terjesztésre utaló "Recipients" szerepel a címzett mezőben. Itt már láthatóan több lektori figyelem jutott az üzenet helyesírására, esetleg egy magyar bandatag segítségével, ennek ellenére az ékezetek itt sem lettek tökéletesek.

"Tisztelt Ügyfelünk,

Ezúton tájékoztatjuk, hogy a fiókjába érkezo beérkezo átutalásokat a profiladataiban talált lehetséges hiba(ok) miatt elutasították. Kérjük, kattintson ide, és kövesse az utasításokat a személyes adatok frissítéséhez. Fiókja azonnal jóváírásra kerül, amint a profilfrissítési folyamat befejezodött. Elnézést kérünk az esetlegesen okozott kellemetlenségekért.

Üdvözlettel,
MKB Bank Nyrt."

Ezúttal egy holland IP címtartományból érkezett az e-mail, ahol a kattintható link erre az URL-re mutat: "https://infinitytechie.com/hu/login/imkb/mkbnew/". Nem igazán néz ki hivatalos banki oldalnak.

Az adathalász oldal erős, de nem tökéletes hasonlósággal másolja az MKB eredi NetBankár oldalát, amely naprakészen már egy figyelmeztető ablakot is feldob, amelyben az éppen aktuális adathalász kísérletről tájékoztatja az ügyfeleket. Fekete-öves versenyzőknek nem csak a domén név eltérése tűnhet fel, de ha valaki veszi a fáradságot, és ellenőrzi a biztonsági tanúsítványt is, ott is ordít róla, hogy átveréssel állunk szemben.

Ha a másolt csaló weblapon kattintunk a német vagy angol nyelv linkre, egyből kiderült, hogy megint egy valamilyen kihasznált sebezhetőség révén feltört Wordpress oldal szolgált kamu banki aloldalnak - ahogy ez például a FedEx-es Flubot esetben is történt.

Az adathalász oldal bekéri a banki azonosítót és a jelszót, és nagy trükkösen az SMS kódot is, tehát ha valaki ezt benézi, akkor ezzel bukta a saját belépését. Remélhetőleg idáig már senki nem jut el, mert patentül idejében felismert minden ide vonatkozó gyanús intő jelet. Azért az vicces lett volna, ha még az adathalászatra figyelmeztető ablakot is idemásolták volna.

A cikk írása közben a pshishing oldalt is sikeresen lelőtték, de gyaníthatóan másik feltört Wordpress oldalakon még nagy valószínűséggel többször is találkozhatunk majd vele.