пятница, 23 мая 2008 г.

Фишинг в картинках

Собственно, я уже очень давно не получал фишинговых писем. В основном благодаря хорошему спам фильтру моего ящика, конечно, и нераспространенности моего рабочего адреса. Однако сегодня я оказался счастливым получателем такого:

image Теперь, я на собственном примере расскажу, как я определил, что этот фишерское письмо.

1) Я не являюсь клиентом никакого Colonial Bank.

2) В письме нет ни обращения по имени, ни обращения вообще.

3) При наведении на ссылку в письме появляется вот такое окошко (использовался MS Outlook):

image

4) При нажатии на ссылку появляется сайт с линком в адресной строке, который совсем не соответствует ожидаемому мной:

connect.colonialbank.c1b8r02whf495lx957xq.secureserv.onlineupdatemirror99920515.colonial.certificaterenewal.05.23.2008.nbmbeff.com

5) Открыв страничку, я увидел вот такое (кликабельно):

image

Собственно, ничего удручающего, однако, когда я попытался закачать "сертификат", то я увидел следующее:

image

Сертификат, упакованный в exe??? Что за бред? Кому это надо?

6) Ну и наконец, попробовав-таки его сохранить (первый фишер за столько лет ;))) ) я получил вот такое окошко:

image

Комментарии, как говорится, излишни. И, разумеется, ссылка в п.4 вполне закономерно ведет именно на сайт этого трижды неладного Colobial Bank. Чтобы Вы ввели туда свои учетные данные, а Ваш свежескачанный троян их отдал "куда надо" "Куда не надо".

Выводы:

1) Не все то Банк, что просит Вас что-то сделать от имени Банка.

2) Не все то нужно сразу тыкать, что просят.

3) Длинный и сложный URL - плохой URL.

4) Если Ваш Банк просит Вас скачать exe файл, то или это не Ваш Банк, или имеет смысл подумать о том, чтобы перевести Ваш банк в разряд не Ваших

5) Не отключайте антивирус. И обновляйте его регулярно

6) Просто будьте осторожны =)

2 комментария:

Анонимный комментирует...

Кстати говоря, для борьбы с такими унылыми фишерами в IE8 предусмотрен механизм, который всегда подсвечивает в адресной строке имя домена второго уровня. Например, в твоём случае будет выделено «nbmbeff.com». Это даст неопытным пользователям возможность сразу определить, на чьём сервере расположена страничка.

Alexander Trofimov комментирует...

Знаю, но IE8 на рабочей машине толком не зажил, потому я об этом сейчас писать не стал.
С другой стороны это все равно требует от пользователя наличия некоторой культуры поведения в Internet. Так что я попробовал хоть чуть этой культуры добавить. =)