Autor: Aare Kirna

Õngitsemisskeem Ühispanga vastu

Täna hommikul leidsid paljud arvutikasutajad oma postkastist järgmise teate:

From: “SEB – Union Bank of Estonia ( EESTI UHISPANK )” <service@seb.ee>

Date: 28 aprill 2008 11:10:34 GMT+03:00

To: undisclosed-recipients: ;

Subject: [***SPAM***] SEB – Union Bank of Estonia ( EESTI UHISPANK ) – IMPORTANT MESSAGE

Dear SEB – Union Bank of Estonia ( EESTI UHISPANK ) customer,

For security reasons our Internet Anti-Fraud Department decided to suspend your account in order to protect you from any kind of Internet attacks. We invite you to re-activate your account and also Log In in our new developed Internet Anti-Fraud security system. Please follow the link below to start this procedure:

http://www.seb.ee/index/1305

Please accept our apologies for this issue and consider this a very important message,

SEB – Union Bank of Estonia ( EESTI UHISPANK )
Internet Anti-Fraud Department

Kirjas toodud link paistab küll pealtnäha SEB oma, kuid suunab tundmatusse serverisse. Klikkijaile avaneb selline pilt (aitäh Margusele pildi eest!):

Ühesõnaga klassikaline ja üle hulga aja väga kvaliteetselt koostatud phishing, mis sedapuhku kurval kombel suunatud Eesti panga klientide vastu.

Tasub üle korrata, ei SEB ega ükski teine pank maailmas ei palu ei turvaintsidendi ega mingil muul ettekäändel oma klientidelt meili ega telefoni teel nende krediitkaardi- ega sisselogimisandmeid, seega on sarnaste kirjade näol alati tegemist pettusega.

SEB kommentaari saab lugeda siit.

Edit: lisaks juhivad SEB inimesed tähelepanu asjaolule, et Ühispanka enam ei eksisteeri, nende panga nimi on SEB.

Parooli saab kätte Å¡okolaaditahvli eest

p4242275.jpg576 kontoritöötaja peal tehtud katsest selgus, et 45% naistöötajaid ja 10% meestöötajaid olid valmis ütlema oma parooli täiesti võõrale inimesele, kui said selle eest tasuks tahvli Å¡okolaadi. Katse läbi viinud Infosecurity Europe’i üritusdirektori Claire Sellicki sõnul oli parooli küsimise ettekäändeks marketingiuuring ning Å¡okolaadi serveeriti kui vaevatasu küsimustiku täitmise eest. 62% nais- ja 60% meestöötajaid loovutas oma nime ja kontaktandmed lubaduse eest osaleda Pariisi-reisi väljaloosimisel.

Pooled kontoritöötajad väitsid end teadvat oma kolleegide salasõnu, 58% olid valmis enda oma ütlema inimesele, kes lihtsalt helistab ja väidab end olevat IT-osakonnast. 43% vahetab oma salasõna harva või üldse mitte.

Pisike õel skämm

Sain hiljaaegu oma spämmiaadressile kaks veidi erinevat, kuid sama manusega kirja:

lenocka.png

Ehk siis mulle tundmatud Leenake ja Vikulja tahavad kangesti vana tutvust uuendada ning avavad mulle ka juurdepääsu fotodele, mida ma olevat küsinud. Kirjades toodud lingile klikkides avanevad mõistagi mitte tütarlaste fotoalbumid, vaid  exe-fail, mis paigaldab arvutisse troojalase nimega Trojan.Win32.Srizbi. See üritab kustutada kõik jäljed enda paigaldamisest ning peidab end arvutis kui rootkit. Väidetavalt suudab ta end jooksutada ka Safe Mode’s, nii et eemaldada on seda tõsiselt raske. Lisaks haagib see troojalane end ka TCP/IP draiveri külge, hiilides nii mööda tulemüüridest ja tsentraalsest viirustõrjest.  Põhiliselt kasutatakse seda troojalast spämmi saatmiseks, kuid praktiliselt võib pahalane selle troojalase poolt kontrollitavas arvutis teha mida tahes.

Õnneks on saadud kirjas olev “fotoalbumi” link hästi äratuntavalt exe-lõpuline, mis peaks vähegi hoolast arvutikasutajat hoidma seda klikkimast.

Kuulujutt: valmistatakse ette kübersõja kordust

Dmitri Infosecurityst kirjutab:

Zone-H.org community’is on liikvel järjekordne kulujutt. Nimelt räägitakse, et hetkel toimub varjatud tegevus, mis korjab tavakasutajate arvuteid botnetti uue rünnaku ettevalmistuseks. Botnet käivitub pronksiöö aastapäeval, selle abil toimuvad uued küberrünnakud.
Botneti loomiseks kasutatav MayDay pole uudne kurivara, sest sai kirjeldatud juba veebruaris . Kurivara kasutatakse backdoori tegemiseks arvutisse ja ta ei ole lihtsalt avastatav. Mitte iga viirustõrje ei pruugi reageerida!

Õnneks on Eesti arvutisüsteemid nüüd kübersõjaks paremini ette valmistatud kui aasta tagasi. Loodetavasti 🙂

Kuid omaenda arvutit saab botnetti sattumast hoida ikkagi eelkõige selle omanik, seepärast kohustuslikud turvahoiatused:  ärge kolage kahtlastel lehekülgedel, ärge avahe kahtlasi faile, hoidke oma tulemüür ja viirustõrje töökorras ning laadige regulaarselt alla operatsioonisüsteemi ja rakendusprogrammide turvaparandusi!

Tänase päeva põnevaim troojalane

F-Secure’i turvalabori spetsialistid avastasid uue, väga veidralt käituva troojalase. Win32.Pril.A nime saanud pahalane nimelt installeerib end alglaadimissektorisse, kirjutab üle BIOS-i ning asub passima momenti, mil kasutaja siseneb suvalisse sadadest üle maailma paiknevatest online-pankadest. Seejärel projtseerib troojalane võltsitud kodulehe otse VGA adapterisse ja, nagu sellest veel vähe oleks, kannab raha ohvri pangaarvele, mitte sealt minema. Mikko kirjutab, kuidas terve turvalabor testis seda veidrat nähtust mitu korda ja mitmete pangaarvetega…

Seda uut põnevat pahalast saab alla laadida siit.

Spämmiblogid

Spämmiga foorumites ning portaalide ja blogide kommentaariruumis on kõik juba ammu harjunud. Täna aga hakkas silma rämpspostitajate uus nõks – spämmiblogid. Märkasin nimelt meie oma kodumaises blog.tr.ee-s listitud blogipostitust pealkirjaga “Get Cash Now Without a Job” – no selliseid olen isegi oma spämmifiltrist tuhandete kaupa ära kustutanud. Postituse külge haagitud blogis oli neid va tüüppealkirju veelgi rohkem:

cash.png

Kommentaaride spämmifiltrid töötavad enamasti hästi, blogide eneste filtreerimine pole aga veel kuigi laialt levinud. Sestap saavadki spämmijad otse blogipostituste endi kaudu oma kahtlase väärtusega sõnumit takistamatult levitada.

Palusin ka blog.tr.ee kommentaari, Andris Reinman on probleemist teadlik:

“Antud tüüpi blogid on automaatselt raskesti avastatavad ja neile saab peale ainult siis, kui see ise silma hakkab. Nimelt on nii, et kui keegi kirjutab kuskil levinud blogisaidil, näiteks sealsamas blogspotis blogi, kuid hiljem mingitel põhjustel selle ära kustutab, siis spämmirobotid, nähes domeeni ärakukkumist, võtavad selle kiirelt üle ja topivad spämmi täis – kasutades sellega osavalt ära eelmise blogija kogutud google pageranki ja muud sellega kaasnevat.

Eriti heaks näiteks saab tuua endist suht populaarset Marta ja Potsataja blogi (mingi hetk kolis blogspotist ära wordpressi teise aadressi peale), http://martamull.blogspot.com/, mis hetkel on täidetud mingi aasia spämmiga.

Blog.tr.ee-s on samamoodi – kui inimene kustutab blog.tr.ee-s oleva blogi ära ja spämmerid võtavad domeeninime endale kiirelt üle, ei saa me kuskilt otsast teada, et midagi juhtunud on.”

Blogipuu, nii nagu ka seal listitud blogimiskeskkonnad (wordpress.com, blogger.com, blogspot.com jne) üldiselt spämmi ei salli ning kustutavad rämpsposti levitavad blogid tavaliselt meelsasti, kui neile sellest teada anda.