Phishing w najlepszym wydaniu

Dostałem dzisiaj maila od Banku Zachodniego WBK. Hmm trzeba przyznać że nie spodziewałem się go ponieważ nie mam konta w tym banku. No ale jak z treści maila wynika jasno przecież – napisany jest prosta angielszyzną – że moja „debit card” jest „limited”

wbk phishing

Tak więc szybko kliknałem w link dzieki ktoremu móglbym „odlimitować” kartę. Trzeba przyznać że była o wiele lepiej spreparowana, niż mail.

wbk phishing

 

Zobaczcie na jaką stronę wejdzie przeglądarka, gdy usuniemy z paska adresu widocznego na screenie /wbk/.
Strona wyłudzająca: http://biblioteka.oeiizk.waw.pl/wbk/
Strona główna: http://biblioteka.oeiizk.waw.pl/

Hmm… bzwbk przeniosło się na serwer:
SERWISU INFORMACYJNEGO DLA NAUCZYCIELI BIBLIOTEKARZY

Cóz – osobiście uważam ze ta próba phishingu jest na tyle beznadziejna, że nie sposób dać się nabrać, chyba że ktoś naprawde cierpi na brak szarych komórek. A nawet wtedy, jak brak mu tych komórek to nie będzie w stanie odczytać maila bo przecież „to nie po polskiemu jest”.

No i na przyszłośc – troche prawdy o phishingu z wikipedii:

  • Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
  • Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
  • Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.
  • Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zignorować i zgłosić odpowiednim osobom.
  • Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych.
  • Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 7 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo też z oprogramowania firm trzecich chroniącego przed phishingiem.

Napisałem maila do osoby odpowiedzialnej za ten serwis – zobaczymy jak długo potrwa usuwanie tego gówna.

Leave a Reply