Planeta Srbija

Pre dva meseca pisao sam o zloupotrebi domena facebook.iz.rs za pokušaj krađe lozinki korisnika Fejsbuka. Danas je otkriven još jedan takav pokušaj sa domenom city-shop.iz.rs.

Ovaj domen je registrovan, na njega je postavljen neki sadržaj koji daje utisak da se radi o internet prodavnici, mada se po sadržaju vidi da nije aktivirana. Međutim u pozadini, duboko je zakopana strana koja simulira PayPal stranu za prijavu, namenjena za krađu lozinki korisnika ovog servisa za plaćanje.

Neoprezni internet korisnici, kojima su zlonamernici nameravali da podmeću ovu stranu umesto pravog PayPal-a ne bi primetili razliku, upisali bi svoju lozinku i napravili sebi veliki problem. Zanimljivo […]

Ne jednom su mi zamerali zašto insistiram na jasnim pisanim pravilima vezanim za registraciju besplatnih .iz.rs domena i zašto svaki registrovani domen prolazi ručnu proveru. Optuživan sam čak da sve to radim zato da bih zadovoljavao neku svoju sujetu i davao sebi na važnosti tako što ću da odlučujem kome ću da dozvoljavam da registruje domen. Stvar je nažalost banalna: kada je nešto besplatno velika je jagma, a naročito od onih koji su skloni zlouporebama i kriminalu.

Naizgled naivan sajt krio je zloćudne namere

Jedna od situacija zbog kojih je proveravanje domena neophodno se dogodila danas. Danas je registrovan domen facebook.iz.rs (ne morate […]

Корисницима Интернет сервиса од раније је познат проблем тзв. пецања (енг. phishing) који се састоји у томе да злонамерни чика пошаље обавештење о потреби за достављањем података за пријављивање на неки сервис (нпр. корисничко име и лозинка) услед најразличитијих разлога (проблеми са базом корисника, селидба на други сервер, истекла сесија и сл.). И онда наступа проблем познат као „људски фактор“ — упецани корисник без провере валидности извора обавештења шаље податке, или одлази на достављену везу, тамо га дочекује формулар за пријављивање идентичан ономе на сервису који иначе користи, уноси податке и покушава да се пријави… али, добија грешку о пријави.

Где је ту проблем? Проблем је у томе што је упецани корисник несвесно злонамерном чики дао своје корисничко име и лозинку. Најчешће то схвати тренутак пошто кликне на дугме за пријављивање.

Најсвежије жртве су корисници Твитера, друштвене мреже за микроблоговање. Наиме, нападач је путем директних порука слао везу на http://twitter.access-logins.com/login/ са информацијом да је у питању редирекција и да се ту треба пријавити.

Довољно је запитати се, зашто би twitter.com мењао адресу и о томе обавештавао кориснике преко директних порука уместо на свом блогу и уобичајеном поруком изнад списка цвркута? Више о овом догађају прочитајте овде.

Да буде још занимљивије, на адреси http://access-logins.com/ већ постоји формулар за пецање корисника Фејсбука.

Фајерфокс још увек нема у бази обавештење за пецање на УРИ адреси twitter.access-logins.com, али ако одете на access-logins.com, дочекаће вас упозорење о злонамерном сајту (слика испод). Тек ако се игнорише ово упозорење може се прећи на циљну адресу, али ће на врху странице стајати узнемирујућа црвена трака са обавештењем да се корисник налази на злонамерном сајту (слика горе).

Кад год добијете обавештење о промени адресе, формулара за пријаву, ресетовање лозинке, изгубљеној бази корисника и слично, пре него што урадите оно што се од вас тражи, проверите ко је прави пошиљалац тог обавештења. Гугл је ваш пријатељ

Ако вас је ових дана у е-сандучету дочекала новогодишња порука са темом „Lots of greetings on New Year“, „The New Year has arrived“, „2008 Rocks!“, „Happy New Year!“ или неким другим излистаним на овом Symantec блогу „Is a New Year’s Storm a’brewin?“, а у самој поруци кратак текст у једној линији и линк ка адресама (не посећујте их!) happysantacards.com, hellosanta2008.com, uhavepostcard.com, happy2008toyou.com или некој другој наведеној на истој страници, онда сте постали почасан прималац гамади која раде само под Microsoft Windows оперативним системима.

Пробудих се малопре и отворим GMail, исчеститали ми се људи нове године као и сваке претходне (касније ћу да честитам и ја свима њима, само да направим неку сличицу), а онда по обичају завирим у спем директоријум. Кад тамо, четири несвакидашње поруке.

У порукама су били линкови на happysantacards.com и hellosanta2008.com, ја тамо, а тамо празна страна и текст:

Your download should begin shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run. Enjoy!

Наравно, ово „click here“ у оба случаја води на датотеку happy_2008.exe величине 140 KB (143.872 bytes). Пропустио сам је кроз Kaspersky File Scann али он није пронашао ништа чудно или забрињавајуће у тој датотеци, док се на разним сајтовима труби како је реч о malware-у за phishing (Evilcodecave се осврнуо на техничке карактеристике ове гамади, а и SecurityZone има шта да каже на ту тему).

Ето да препоручим свим читаоцима Записа да не кликћу на којекакве линкове и не покрећу којекакве прилоге које им шаљу непознати пошиљаоци на е-пошту, брзе поруке, блогове, форуме и слично. Чак ни када добијете од познатог пошиљаоца неку чудну датотеку коју треба покренути, размислите да лије то послао баш тај познати пошиљалац лично или се црвић упослио да одради дистрибуцију уместо живог човека. Или једноставно, потерајте пингвина

Аутор Александар Урошевић за блог Записи.Слободна употреба садржаја у складу са BY-CC-SA 3.0 лиценцом.Веза до овог записа (овај запис није коментарисан) [ del.icio.us | Stumble Upon | Digg ] Блогови који су повезани са овим записом на Technorati Архива осталих записа из категорије Рачунари.