reklama

Kdo se skrývá za prvním českým phishingem?

Páteční zpráva o podvodném e-mailu, který si kladl za cíl vylákat přihlašovací údaje od uživatelů bankovních služeb Citibank vzbudil velký rozruch nejenom v počítačové komunitě, ale i v masových médiích. Prakticky všechny sobotní deníky přinesly zprávu o této akci neznámých záškodníků.

Zatím není zřejmé, zda podvodníci byli úspěšní a podařilo se jim nějaké údaje od klientů vylákat. Na stránkách Citibank je ale umístěn velký banner odkazující na upozornění o podvodných e-mailech. Pop-up okno s upozorněním se otevře také při vstupu na stránku, ale to se s ohledem na ochranu před automaticky otevíranými okny, nemusí uživatelům zobrazit.

My jsme se pídili po možném původu tohoto e-mailu. Text je napsán poměrně dobrou češtinou, mimo jedné odsunuté tečky na konci věty nelze textu prakticky nic vytknout. Pro kódování je použita znaková sada UTF-8, což je patrně důvod, proč mnoha uživatelům došla zpráva s totálně pokaženou češtinou.

Pohledem do hlavičky e-mailu zjistíme další zajímavé věci. Moje zpráva byla odeslána z adresy softbank219004122084.bbtec.net (IP 219.4.122.84), což nemusí být nutně adresa odesílatele, ale serveru, ze kterého zpráva odcházela.

Zajímavý je časový údaj odeslání - v případě zprávy, která dorazila do mé schránky byl čas posunut o pět hodin dozadu, což by napovídalo, že k odeslání došlo z východního pobřeží USA, případně ze západněji položených zemí jižní Ameriky. To ale nesedí s geografickou lokací výše uvedené IP adresy, která směřuje někam do Japonska. Měl by proto některý z technicky zdatnějších čtenářů nějaké vysvětlení? Že by špatně nastavený čas na serveru? E-mailovým klientem byl program The Bat! verze 2.00.6.

V dalším pátrání jsme se zaměřili na obsah e-mailu. Za pozornost stojí datum, kterým je úvod zprávy opatřen. Je použit tzv. americký způsob zápisu, kdy je na první pozici uveden měsíc a až poté následuje den. Odkazované URL směřuje na adresu citi-online.czechrepubliblic-online.com. To působí dojmem, jako kdyby autor výběr domény přizpůsoboval zvolené subdoméně (nebo samozřejmě také obráceně). Datum registrace domény je přitom pouhý den před tím, než byly e-maily rozeslány (2. 3. 2006).

Doména byla registrována prostřednictvím služby joker.com s následujícími údaji:

DOMAIN  czechrepublic-online.com
Registrar:  JOKER.COM
Status:  hold,infringe-3rd-parties
Owner
Name:  Travis Godfrey
Organization:  
Email: 
czechrepublic_online_com@fsmail.net
Address:  1630 Aliwood Way
 
Postalcode/City:  84010 Bountiful
State:   --
Country:  US
Administrative contact: 
czechrepublic_online_com@fsmail.net#0
Technical contact: 
czechrepublic_online_com@fsmail.net#0
Billing contact: 
czechrepublic_online_com@fsmail.net#0
Nameserver:  ns1.my-dns-zone.com
 ns2.my-dns-zone.com

Jménem a adresou se nemá cenu zabývat. S největší pravděpodobností jsou falešné. Zajímavý je status, který dává tušit, že proti existenci domény již byly podniknuty nějaké kroky. Jedinou stopou je tak e-mailová adresa, která by mohla být pravá. Po zadání fsmail.net do prohlížeče je uživatel přesměrován na britské stránky společnosti Wanadoo, která se patrně už dříve stala vlastníkem této domény a e-mailových služeb na ní poskytovaných.

Pátral jsem také na českém internetu a z tohoto zápisku na blogu Filipa Rožánka je zřejmé, že zprávy chodí z různých IP adres. Co to znamená? Pro jejich rozesílání je nejpravděpodobněji používán nějaký spyware, který mají ve svých počítačích nainstalovaný nic netušící uživatelé.

Co říci závěrem? Nedobrali jsme se celkem k ničemu, ale to se dalo očekávat. Ať už je původcem těchto e-mailů kdokoli, osobně ho tipuji spíše na zkušeného profesionála. Ostatně nemusí jít ani o člověka z České republiky. Možná by stálo za to prověřit, zda se podobný phishingový e-mail v poslední době neobjevil i v jiných jazykových mutacích.

Témata článku: Prohlížeče, Phishing, Status, Citibank, Hold

53 komentářů

Nejnovější komentáře

  • Sova 8. 6. 2006 10:32:16
    Včera mi přišly dva stejné e-maily, které se tvářily jako regulérní dopis...
  • Róbert Polomský 7. 3. 2006 23:52:43
    To by mohlo znamenať aspoň to, že tvorca phishingu ho pôvodne ušil na...
  • zeloch 6. 3. 2006 18:48:11
    me byla stejna zprava zaslana z brazilie pres dial-up ....
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 103

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 74

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

** V notebooku s cenou nad 20 tisíc nesmí chybět kvalitní displej a rychlé úložiště ** Za dalších deset tisíc můžete dostat navíc styl nebo výkonnější komponenty ** Vybírat můžete z různých velikostí i konstrukcí

8.  12.  2016 | Stanislav Janů | 84


reklama