Úterý 16. října. Svátek má Havel.

Útok na ING Bank aneb Pozor na podvodné e-maily

Záplava podvodných e-mailů tvářících se jako zpráva z ING Bank se včera dopoledne rozlila do schránek nejen klientů banky. Kdo útočí? Cílem jsou osobní informace klientů. O peníze ale přijít nemohou.

Podvodných e-mailů chodí do e-mailových schránek neskutečné množství. Málokterý je ale tak důvěryhodný, jaký byl včerejší e-mail tvářící se, jako by byl odeslán z ING Bank. Zpráva obsahovala hlavičku banky a na první pohled vytvářela dojem, že je odeslána z klientské linky banky.

Základní pravidlo při obdržení podvodného e-mailu zní: Nikdy na něj neodpovídat a nikdy neklikat na odkazy v těle e-mailu. Poznat podvodnou zprávu není přitom obtížné – zpravidla vyzývá ke kliknutí na přiložený odkaz nebo k zaslání citlivých informací zpět elektronickou poštou. A to žádná banka v žádném případě nedělá!

Podvodný e-mail

Obrázek 1: Podvodný e-mail

Podvodný e-mail útočící na klienty ING Bank na první pohled vypadá důvěryhodně. Až na druhý si jeho příjemce může všimnout občasného výpadku diakritiky či „obtížnějších“ písmen, to ale může přisuzovat svému poštovnímu klientovi. Vždyť zpráv s rozházenou diakritikou chodí také nemalé množství a kupříkladu nový vzhled služby Gmail.com s ní měl zpočátku také potíže.

Podezření mohla vzbudit i odpovědní adresa – e-mail, který se lišil od e-mailu odesílatele, kterým byl klient@ing.cz. Adresu odesílatele lze snadno změnit a skutečný odesílatel tak může zůstat skryt. Málokdo se přitom podívá v hlavičce e-mailu na skutečný server, z něhož byl e-mail odeslán.

Je velmi pravděpodobné, že poštovní klient nebo server vyhodnotil podvodnou zprávu jako spam. To je další vodítko pro identifikaci phishingu (snahy vylákání citlivých údajů prostřednictvím podvodných e-mailů).

Kliknout na adresu stránky v podvodném e-mailu je rizikové. Člověk může být nejen přesměrován na stránku vypadající jako stránka banky, kde může být zmaten natolik, že zadá své přihlašovací údaje, případně číslo karty a další údaje, které lze využít k jejímu zneužití, ale může si také nainstalovat do počítače škodlivý program, který si potřebné informace může získat. Nebo který bude využívat počítač k další, často nelegální činnosti či rozesílání spamu.

Podvodné stránky

Obrázek 2: Podvodná stránka

V odpoledních hodinách byla podvodná stránka stále dostupná, jen byla označena jako „nahlášená podvodná stránka. Oproti tomu na stránkách ING Bank se vyskytovalo varování před podvodnými e-maily.

Obrázek 3: Vstupní stránka internetového bankovnictví ING Bank

Pomineme-li varování o možné podvodné stránce a před podvodnými stránkami, rozdílů skutečně není mnoho. Jen podvodné stránky jsou umístěny na jiné doméně, než která patří bance.

  • Adresa podvodné stránky: http://universalelectriccompany.com/www.ingkonto.cz/ib4/welcome.do/
  • Adresa pravé stránky: https://www.ingkonto.cz/ib4/welcome.do?lang=cz

Stránky internetového bankovnictví ING Bank jsou navíc podepsány certifikátem VeriSign (stránky vlastní ING Bank N.V.) a přenos dat je šifrován na vysokém stupni bezpečnosti. To využívají všechny banky a informace lze zjistit např. z informací o stránce ve webovém prohlížeči. Oproti tomu podvodné stránky nic takového nevyužívají.

Překvapujícím zjištěním je, že doména, na níž jsou podvodné stránky umístěny, patří americké společnosti Universal Electric Co., která sice zřejmě nebude patřit k největším americkým společnostem, ale přinejmenším vytváří dojem, že na trhu již nějaký čas působí. Alespoň její doména byla registrována pod současným registrátorem již 23. Ledna 2009 a stejná společnost ji drží dosud. Je tedy velmi pravděpodobné, že její doménu útočníci zneužili.

O peníze klienti nepřijdou

Klienti ING Bank o své peníze na ING Kontu nepřijdou. Zabezpečení ING Konta spočívá především v tom, že lze peníze posílat pouze na klientem povolené a prověřené účty, které nelze měnit ani doplňovat prostřednictvím internetového bankovnictví. Útočník se tak sice může dozvědět citlivé údaje o „přelstěných“ klientech banky, ale nemůže je připravit o peníze.

Přesto ING Bank ve svém varování před útokem vyzývá klienty: „Pokud jste již na obdobný email zareagovali, prosím rovněž nás kontaktujte na výše uvedené bezplatné telefonní lince, kde vám operátoři nabídnou možnost bezplatné změny hesla nebo blokace účtu a vygenerování nových přístupových prvků.“

Obdržel/a jste podvodný e-mail "z banky"?

Zobrazit výsledky

Nahrávání ... Nahrávání ...

Napsat komentář

Vaše emailová adresa nebude zveřejněna.

This site uses Akismet to reduce spam. Learn how your comment data is processed.