OTP Bank phishing

Security-all

Sziasztok!

Nemreg kaptam a service at otp.hu felado neveben egy levelet. Allitolag baj van a hitelkartyammal es ennek orvoslasa erdekeben az alabbi linkre iranyit: 



"http://ip-66-80-47-199.dsl.nyc.megapath.net/otp.hu/include.php"

Termeszetesen en nem dolok be az ilyesminek, de jobbnak lattam irni errol ide egy figyelmeztetes, hatha van kozottunk egy a vallalattal kapcsolatban allo rendszergizda:-))

Koszi!

  • 3858 megtekintés

( arrabonus v | 2009. 10. 27., k – 10:29 )

Nálam valami baj lehet, mert az alábbi üzenetet kaptam :-))

XML feldolgozási hiba: aszinkron entitás
Hely: jar:file:///usr/lib/firefox-3.0.14/chrome/browser.jar!/content/browser/safebrowsing/blockedSite.xhtml
195. sor, 46. oszlop:

&safeb.blocked.malware.shortDesc;

---------------------------------------------^

( kovi | 2009. 10. 27., k – 10:33 )

tegnap óta én is óvatos vagyok, bejelentkezve az online felületre, idegen helyről is került cookie a gépemre. zsíridegenről, pedig az oldal normál esetben teljesen steril az idegen moduloktól, számlálóktól és idegen reklámoktól.

--
A gyémántot csak a gyémánt vágja.

( Dacr (nem ellenőrzött) | 2009. 10. 27., k – 10:36 )

Most kaptam én is ilyen üzenetet.

( pgabor v | 2009. 10. 27., k – 11:13 )

5perccel ez előtt írtam az otp-nek ugyanilyen levél kapcsán:)

( Tomato | 2009. 10. 27., k – 11:31 )

A bankok mindig levélben értesítenek, emailt ilyen miatt soha nem fogsz kapni. Tuti valami gebasz van az otp-vel. Jól tetted, hogy nem dőltél be!
(amúgy mostanában elég sokszor elérhetetlen az otp weboldala, szóval valami nagy gáz lehet...)
-Tomato

Előző hozzászólásokból azt szűrtem le, hogy aki kapott ilyen levelet, az az otp ügyfele. Ennek kapcsán véltem leszűrni azt a következtetést, hogy azért az otp-nél sem stimmel valami. (Gondolom a levél küldői nem maguktól jöttek rá az email címekre)
De ha tévedtem, hát elnézést. :)
-Tomato

Én is olyan címekre kaptam, amik biztosan nem állnak kapcsolatban az OTP-vel. De a nagy számok törvénye alapján (mivel az OTP-nek van a legtöbb ügyfele) nyilván sok olyan ember is kap levelet, aki ügyfél. Nálam amúgy tele volt a levél cirill betűkkel... :)

"Egyre több informatikusnak van nemi élete. Hígul a szakma..."

Nekem is karaktert kellett váltanom, hogy el tudjam olvasni. Kaptam már olyan spam szöveget, amit nem tudom mivel fordítottak magyarra, de teljesen értelmetlen volt. Kb: "Ellenőrzés neked bankszámlaszám. Linken kiskacsa pinkód. Kattints!" Már van spam szűrő, azóta nem találkoztam ilyennel.

( Mik v | 2009. 10. 27., k – 11:46 )

Hozzánk 10 óra előtt pár perccel esett be az első, de amavisd-new megfogta, mostmár - ideiglenesen - blacklisten is van a küldő cím :)

( kdavid | 2009. 10. 27., k – 11:48 )

toljatok mar be csak az erdekesseg kedveert par mail headert, koszi

From - Tue Oct 27 09:58:15 2009
X-Account-Key: account2
X-UIDL: 1256633791.95845.fmx22
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: flesy@freemail.hu
Received: (qmail 95842 invoked from network); 27 Oct 2009 09:56:31 +0100
Received: from adsl-68-89-80-81.dsl.okcyok.swbell.net (HELO themis.alo.local) (68.89.80.81)
by fmx22.freemail.hu with SMTP; 27 Oct 2009 09:56:31 +0100
Received: from User ([66.80.47.199]) by themis.alo.local with Microsoft SMTPSVC(6.0.3790.3959);
Tue, 27 Oct 2009 03:52:03 -0500
From: "OTP Bank"
Subject: Fontos!
Date: Tue, 27 Oct 2009 04:53:44 -0400
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: service@otp.hu
Message-ID:
X-OriginalArrivalTime: 27 Oct 2009 08:52:04.0062 (UTC) FILETIME=[C163C7E0:01CA56E2]
X-Freemail: message scanned
X-Spam-Asap: BULK
X-Spam-AsapRefid: str=0001.0A0B0205.4AE6B4E1.023E,ss=3,sh,fgs=0
X-Spam-Status: YES
X-Spam-Probability: low

---------------------------------------------------------------------
„Az Univerzum már elég nagy és öreg ahhoz, hogy egy fél óráig vigyázzon magára.”

( bitvadasz | 2009. 10. 27., k – 12:44 )

tracerouting....
12 ae-84-84.ebr4.Washington1.Level3.net (4.69.134.185)
13 ae-3-3.ebr1.NewYork1.Level3.net (4.69.132.94)
14 ae-81-81.csw3.NewYork1.Level3.net (4.69.134.74)
15 ae-41-99.car1.NewYork1.Level3.net (4.68.16.195)
.....
Egy kis DDoS 66.80.47.199-nek?

Persze biztos, hogy kivédi a halál pingjét a rohadék

ffox nem kérdez, csak nem engedi megnyitni
(már bejelentett támadó)

Azt nézem, melyik gépen nyissam meg explorerben.
Sztem biztos ami biztos elereszt valami aktívx-es nulla kiterjedésű trójais iframe-t is

lehet arra gondolt eax, hogy masok is rohoghessenek a szeleburdi hozzaszolasodon. Az IP-cim egy xdsl vegen logo fazon, akinek felnyomtak a gepet, es a spackerek meg egy web szervert is futtatnak rajta, amin a fising oldal elerheto. Mondom, ha eleg tokos gyerek vagy, letolhatod a netrol, so what? A zombi network letszama ideiglenesen csokkent eggyel....

SPAMtelenül - MX spamszűrő szolgáltatás, ahogyan még sosem próbálta

vicceltem (explorer)

wget a baratunk. 


66.80.47.199/otpbank.hu/index_files/

hazibank.js
...
	var last_char_count2 = 8;
	function otpDirektKicsiJump2passwd2() {
		var text1 = $("szamlaszam1");
		var text2 = $("szamlaszam2");
		var text3 = $("szamlaszam3");
		var value = text2.value;	
		value = justNumbers(value);
		if ( value.length > 8 && value.substr(0, 3) == "117" ){
			value = value.substr(3);
...

meg ilyenek...

( Charybdis | 2009. 10. 27., k – 13:17 )

Aki ilyennek bedől, annak nem való internetbank, mondja le és ezután mindent intézzen személyesen, a fiókban.

( uid_14357 | 2009. 10. 27., k – 14:47 )

Bejelentett hamisított webhely - firefox said.
--
\\-- blog --//

( hrgy84 | 2009. 10. 27., k – 15:21 )

Kernem a topicinditot, intezze el, hogy a site tobbe ne legyen referrer erre a linkre (azaz: ne linkesedjen ez a link). Rontja az oldal hitelet.
Koszonom az oldal uzemeltetojenek helyeben is.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.