» »

NLB tarča phishing-a

NLB tarča phishing-a

NLB - NLB opozarja svoje komitente, da naj bi bili tarča phishinga.

Lastnosti lažne vstopne strani:
  • V naslovni vrstici je naveden naslov https://klik.nlb.si, naslov SE NE RAZLIKUJE OD PRAVEGA.
  • Na ekranu brskalnika NI simbola zaklenjene ključavnice.
  • Na ekranu brskalnika NISTA zapisana ime in priimek uporabnika.
  • Pojavi se lahko več ekranov, ki omogočajo:
    - brskanje/iskanje kopije shranjene datoteke s kvalificiranim digitalnim potrdilom,
    - povezavo na stran z navodili za izvoz kvalificiranega digitalnega potrdila,
    - vnos gesla za kvalificirano digitalno potrdilo in gesla za vstop v NLB Klik.
Iz zaslonskih posnetkov lažne strani je možno razbrati, da je ranljiv tudi firefox. O tehničnih podrobnostih zaenkrat še molčijo. Je kdo od vas že bil žrtev tega napada, ali pa vsaj videl lažno vstopno stran?

119 komentarjev

strani: « 1 2 3

Fury ::

Jest mam normalnga :)

kekz ::

"https://klik.nlb.si, naslov SE NE RAZLIKUJE OD PRAVEGA"

In kako je potem lahko lažna stran? 8-O

svecka ::

Ja napredni uporabniki bodo prepoznali "fake", medtem pa navadni uporabniki bodo zagotovo padli na to foro. Sem že prepovedal moji mami plačevati preko klika :D Kot vedno problem so tukaj tisti ki se ne spoznajo na računalnike. Itak pa nima veze, kdor tole dela bo itak samo z denarno kaznijo &/ali pogojnim zaporom ušel, tak je bedno v naši prelepi Sloveniji, tako da bo tega čedalje več.

krho ::

Ja tole je ultra čudno, naslov bi se moral razlikovati. Tudi domene s zelo podobnim imenom, pomoje Arnes ne bi dovolil registrirati.
edit: na prvem posnetuku firefok lepo opozori, da je certifikat izdan za strežnik "localhost" in ne klik.nlb.si.
Something fishy is going on.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

Zgodovina sprememb…

  • spremenil: krho ()

Jaka83 ::

Men normalno dela.

DMouse ::

Ja, se strinjam. To je (as much as i know) možno samo v primeru, da je Firefox na nek način ranljiv in ne prikaže pravega url, ali pa je nekdo vdrl v njihov DNS server ali DNS server kakega ISP-ja...

Zvedavec ::

Kaj pa, če kaj doda kakšno vrstico v datoteko hosts?

DMouse ::

Točn, to je še najbolj verjetno ja.

pegasus ::

Vsi, ki spremljate security sceno, veste, da je na "trgu" že kar nekaj trikov, kako browser pretentati, da v url vrstico napiše nekaj, prikazuje pa nekaj čisto drugega. Ti štosi so se začeli z exploderjem, a se je kmalu pokazalo, da noben browser ni čisto imun nanje.

Vsekakor zgleda tale phishing kar solidno delo. Nekdo je imel preveč časa :)

Spc ::

Pomojem manipulira windows dns client.
:)
Telemach is a land of confusion in Slo-tech je podkupljen iz strani ProPlus-a.
https://tinyurl.com/lr8hydo

christooss ::

Firefox 2.0 napiše eno -1227 napako
Zakaj je nebo modro? Da imamo lahko sladoled Modro Nebo

Looooooka ::

oh well...zato je treba pa folk navadit da clo preberejo predn kliknejo ok

hamax ::

na sreco ne zna vsak izvozt certifikata :P

ToniT ::

Firefox 2.0 napiše eno -1227 napako

Ta napaka pomeni, da nimaš pravega certifikata za ogled te strani!

Tezaab ::

Vsekakor zgleda tale phishing kar solidno delo. Nekdo je imel preveč časa :)


Vseeno ni imel zadosti casa, da ne bi naredil tipkarske napake: "Geslo za dog. poRTdilo:"

Zgodovina sprememb…

  • spremenilo: Tezaab ()

mirkuma ::

U bozjo mater...cez vikend sem si namestil IE7 in mi je tezilo da certifikat ACNLB ni pravi oz dodan med zaupanja vredne nosilce certifikatov...sem mislil, da je to pac zaradi IE7, celo podpora banke mi je svetovala naj namestim ACNLB med varne in bo ok...sedaj me pa mocno skrbi, da je bilo opozorilo zaradi phishing-a?!?! Ni pa me nic sprasevalo glede certifikata...
Vseeno sem prestrasen, kot mladi macek...sibam domov pogledat kaj je z zadevo, ker v sluzbi nimam certifikata...Jebote NLB podpora...
...all those moments will be lost in time, like tears in the rain...

DrBU ::

Ja nekdo je lepo zaslužil na ta račun, jaz upam, da ga bojo dobil, ker je moji znanki "ukradel" 94.000.

Banditi, delat naj grejo! ;(

Zgodovina sprememb…

  • spremenil: DrBU ()

J.McLane ::

Hrvati napadajo, ker je bila tožba proti NLB zavrnjena :D

Zgodovina sprememb…

  • spremenilo: gzibret ()

Bellzmet ::

mirkuma: meni se je zgodilo popolnoma isto...poročaj, ker pridem domov šele zvečer.

lp

roCkY ::

Kolker se spomnim IE7 zahteva potrditev certifijata (nobene ponovne namestitve) ob prvi uporabi. Sam sem ga na njem prvič rabu na DURS-u.

Mr.Ecko ::

Mogoče so res hrvati.Glede na to da so rabil tolk časa da jim rata.:D

McNato ::

Glede na to da je moral bit denar nekam nakazan verjetno ne bo pretežko najti storilca.

Matthai ::

Meni to zelo smrdi po MITM napadu (man-in-the-middle napad).

Vdreti v DNS ISP-ja sicer ni tako enostavna zadeva, predvsem bi jo bilo mogoče detekrirat, saj imajo ISPji verjetno le določen nadzor nad svojimi DNS serverji. Je pa možno, da kakšen spyware "popravi" hosts datoteko in vse skupaj preusmeri na localhost, kjer teče lažni web server, npr. webmitm. Ali pa spremeni privzete DNSe. Pravzaprav bi bilo to še najbolj enostavno, je pa tudi razmeroma enostavno za blokirat.

Torej to nima veze z brskalnikom - tudi Lynx bi bil ranljiv.

Ampak če kraja poteka tako, da se ves denar nakazuje na nek račun (napadalca), je to razmeroma enostavno ugotoviti, saj so bančne transakcije dobro dokumentirane. Večja štala bi bila, če bi se denar nakazoval na random račune.

Ampak po mojem mnenju je zadeva še najbolj uporabna za pranje denarja. Napadalec nakaže denar na tvoj račun in ga sekundo kasneje preusmeri na nek drug račun, itd. in s tem zabriše izvor denarja, žrtev pa ničesar ne opazi, saj ima še vedno enako količino denarja na računu.
All those moments will be lost in time, like tears in rain...
Time to die.

SodVina ::

:D :D

Kera leva fora. Prosim posljite nam dig. potrdilo in vsa gesla!

ampak folk bo nasedel (oz. ze je).

ZLOky ::

Hi hi. Imel KLJIK. Imam SKB net. No problemos.
Očem bolj prijazen izgled, nobenih certifikatov, samo "kalkulatorček".
http://www.google.com/ dela Ĩude޲e!!!

kklemenss ::

@mirkuma poglej ce imas v C:\WINDOWS\system32\drivers\etc HOSTS datoteki morda kej v zvezi z klik.nlb.si vpisano.

shadow7 ::

Lepo bi bilo, če bi NLB dala ven malo več podatkov. Ali je bil napaden DNS server, datoteka hosts, ali na kakšen način ki prikaže lažni URL (tole je bolj browser specific, tako da je to manj verjetno).

P: že leta imamo zaklenjen hosts in DNS za vse e-banking strani je lokalni DNS.

Zgodovina sprememb…

  • spremenil: shadow7 ()

mirkuma ::

@kklemenss datoteka C:\WINDOWS\system32\drivers\etc\host je ok (samo vnos 127.0.0.1).
Glede osebnega certifikata mi ni tezilo, tudi izvoza in gesel ne, tezave sem imel samo z ACNLB certifikatom...Ampak, na tisto lazno stan nisem bil nikoli preusmerjen, in tudi racun je nedotaknjen. Milim da je vse ok in da je tista tezave glede potrditve certifilata pac stvar novega IE7 in nima veze z preusmeritvijo.

Varnost KlikNLB : Klik
Vendar zadnji stavek drzi kot pribito... :-)
...all those moments will be lost in time, like tears in the rain...

Zgodovina sprememb…

  • spremenil: mirkuma ()

MasterMind ::

Kdaj se pa ta lažna stran prikaže? Če grem jaz direktno na klik.nlb.si (s Konqijem) dela quite good. Bom poskusil še malo več variant :).
Gentoo, KDE uporabnik.

Kekec ::

@mirkuma tisto kar ti je IE7 zatežil je bilo čisto ok, lepo ti je povedal da ni med trusted root certifikati ali nekaj takega ... še vedno si lahko normalno delal, če si ga prestavil v trusted root ni več težil z to napako tako da nič bat.

Volk| ::

NKBM ima to bolje urejeno.
Z onim klučekom kjer se geslo spreminja vsakih nekaj sekund lahko kdorkoli pridobi geslo pa ne bo mogel s tem si nič začet.Poleg tega ko je enkratno geslo enkrat uporabljeno ne deljuje več.
Pa še na kateremkoli računalniku se lahko logiraš dočim na NLB moraš vedno imeti certifikat.

Hvala bogu da sem na NKBM

Mr-KONJ ::

Sam tolk povem, enmu mojmu kolegu so pršli kriminialisti zjutri trkat na vrata, so mu pobral vse računalnike, v roke je pa dubu obtožnico, da je z dvema pomočnikoma, katerih imena je videl prvič v življenju, pobral dvema ženskama 6 miljonov tolarjev iz klika. Izgleda, da so mu pohekal v server in opravil transakcijo iz njegove kište al kaj, skratka zdej je že 1 mesec brez računalnika in še vedno čaka da ga pokličejo.
He cut off the heads of a hundred and thirty-one lords.It was a bad time for the empire.

Zgodovina sprememb…

  • spremenil: Mr-KONJ ()

mirkuma ::

@Kekec
Tocno tako je bilo, premik sem tudi storil...samo nikoli ne ves..lahko bi bila stran ze preusmerjena in bi lahko namesto prestavitve namestil certifikat ki ni od NLB in...
Mogoce sem bil res malo paranoicen, zaradi dejstva da je ta tezave z IE7 sovpradala z tezavami oz preusmeritvami klikove strani.
Hvala vsem, ki ste me pomirili ali imeli podobne tezave in konec iz moje strani.:D

EDIT: Odgovor NLB podpore glede IE7 ACNLB certifikata:
Spoštovani. Težave, ki ste jih navedli sami v svojem prvem sporočilu, nimajo ničesar opraviti s ponarejenimi stranmi, ampak so zgolj posledica nadgraditve IE z verzijo 7.0. Zaznali smo jih takoj s pojavom IE7, torej bistveno pred pojavom ponarejenih strani. Thumbprint, ki ga navajate je pravilen in je od digitalnega potrdila strežnika NLB.
...all those moments will be lost in time, like tears in the rain...

Zgodovina sprememb…

  • spremenil: mirkuma ()

lukaz ::

NKBM ima to bolje urejeno.
Z onim klučekom kjer se geslo spreminja vsakih nekaj sekund lahko kdorkoli pridobi geslo pa ne bo mogel s tem si nič začet.Poleg tega ko je enkratno geslo enkrat uporabljeno ne deljuje več.
Pa še na kateremkoli računalniku se lahko logiraš dočim na NLB moraš vedno imeti certifikat.

Hvala bogu da sem na NKBM


Takle klučk ma tut fotr na eni drugi storitvi in ga jst že neki cajta gledam. Vdret v to se mi niti ne zdi tak problem. Kluč in server ne moreta čisto na random proizvajat enkih gesel, torej more bit nek kluč oz algoritem po katerem proizvaja to. Po vsej logiki bi z prestrezajem gesel in primerjavo dobil ta algoritem. Do keša oz česarkoli že, je potem samo še mejhn korak....

Kekec ::

@mirkum no res bi lahko instaliral napacn certifikat vendar potem nebi prisel na njihovo stran.

@Volk tako kot lahko komu izmakneš certifikat, tako ti lahko nekdo ukrade ključek tu ne vidim razlike.

denial ::

NKBM uporablja RSA SecurID, v navezi z uporabniškim imenom/geslom in PIN številko. Za izvedbo "napada" imaš 60 sekund časa, nato se avtentikacijska koda spremeni. Mission Imposible?
SELECT finger FROM hand WHERE id=3;

shadow7 ::

z man in the middle se meni to zdi čisto lepo izvedljivo. že s programčkom, ki bi zaznal prisotnost v e-bankingu (in bi lepo preko browserja poslal ustrezne podatke) to ni noben problem.

dejanrus ::

Moji kolegici so v petek pobrali 90K (vse kar je mela na računu) v roku parih ur od napada, čeprav je takoj po napadu poklicala na NLB. :) Prenakazano je bilo na račun nekega mladeniča, čigar podatke, po možnosti pa še osebno in kartico, so napadalci najverjetneje izkoristili za dvig gotovine, tako da tudi sledenje bančnih transakcij ni bil problem. :)

stb ::

Ha, z isto tehniko lahko napadalec brez vidnih sledi korigira oz. skrije vanostna obvestila na
http://www.nlb.si/cgi-bin/nlbweb.exe?do..., tako, da preprosto naredi reddirect na lažno vstopno stran klika.

Tako bi tudi ljudje, ki so zgolj slišali, da se dogaja nekaj zlobnega in bi šli preverit na stran banke ugotovili da se morajo prijaviti na klik... in postanejo žrtve še preden vedo kaj se dogaja... >:D

Isti princip lahko uporabi za onemogočenje dostopa do spletnih strani ostalih medijev (delo.si, 24ur.com, slo-tech.com...)... DNS cenzura? 8-O

Očitno napadalec le ni premislil vsega dovolj temeljito. :8)

Zgodovina sprememb…

  • spremenil: stb ()

antonija ::

SKB ima tud tisti "kalkulatorcek". Pa algoritem generiranja kljucev na temu kalkulatorju je pomojem kar dobro javno poznan in preverjen (kar je dobro), ni pa javno znan kljuc (ki ja na vsakem kalkulatorju drugacen) ki ga algoritem uporablja za generiranje gesel.
Ce bi rabil samo zaporedje gesel pol bi vsak ki ze ima SKBnet lahko to pocel, kanede ;)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

murmur ::

Ja, cisto v stilu NLB banke:
"Kaj (se) lahko storimo, za vas?".

stb ::

NLB se obnaša zelo skrivnostno - zadeva je bila objavljena le med obvestili znotraj klika, tako da ni bilo variante, da bi se o zadevi seznanil pred vstopom (oz poskusom vstopa) v klik.

Opozorila recimo še vedno ni niti na http://www.nlb.si/, niti na strani o kliku.

Ezekiel ::

Schneier o Unicode hackih

stb ::

Lahko pričkujemo, da bo pristojen organ NLB odvzel status overitelja digitalnih potrdil, in s tem onemogočil dostop do raznih storitev, katere zaenkrat NLBjevim certifikatom še zaupajo:
http://e-uprava.gov.si/e-uprava/portalStran.euprava?pageid=25

Ali se bodo za tak korak odločali le posamezni ponudniki storitev državljanom?

Metabond ::

Stran klik.nlb.si je nedostopna. No ja vsaj 14. nismo!

Volk| ::

Kekec:
Poleg gesla ki se na ključu spreminja se moraš poleg vtipkat PIN. Torej tudi če ti nekdo ukrade ključ si ne more nič z njim začet. Pa še pin je različen od onega za bankanet.

Glede komentarja da se lahko ugotovi random sprememb gesla..hehe.To bi pa rad videl. Jaz se prijavljam v sistem ko nekaj rabim. Vsakih nekaj dni. Torej bi moral nekdo sledit moj računalnik mesece, pa se verjetno ne bi prisel do pravega algoritma.

mission impossible?:D

AndrejS ::

NLB se obnaša zelo skrivnostno - zadeva je bila objavljena le med obvestili znotraj klika, tako da ni bilo variante, da bi se o zadevi seznanil pred vstopom (oz poskusom vstopa) v klik.

Zakaj pa bi objavit pred vstopom. Če si žrtev si itak že na napačni strani in obvestilo ni smiselno!

stb ::

Stran klik.nlb.si je nedostopna. No ja vsaj 14. nismo!

Meni je klik še vedno dostopen iz SIOLa.

Danes smo dobili plače, kot ponavadi, na drugo banko.
Kot pravi NLB: "Vem zakaj..." :D

mercutio ::

lukaz:
"Takle klučk ma tut fotr na eni drugi storitvi in ga jst že neki cajta gledam. Vdret v to se mi niti ne zdi tak problem. Kluč in server ne moreta čisto na random proizvajat enkih gesel, torej more bit nek kluč oz algoritem po katerem proizvaja to. Po vsej logiki bi z prestrezajem gesel in primerjavo dobil ta algoritem. Do keša oz česarkoli že, je potem samo še mejhn korak...."

No, malo si preveč stvari poenostavil. Je že nekaj časa minilo kar sem študiral kodirne standarde, vendar si lahko na Wikipediji prebereš o RSA algoritmu in kako deluje. Verjemi, da nimaš šans da ga razbiješ s tvojimi računskimi kapacitetami (razen, če uporabiš kakšno luknjo :)). Poleg tega se tudi gesla prenašajo po SSL varni povezavi, kar ti zoper onemogoči prestrezanje teh gesel. Če pa imaš zadostno znanje o kodirnih algoritmih in veš kako k stvari pristopiti pa kar veselo na delo ;) .
strani: « 1 2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Proklik

Oddelek: Programska oprema
244780 (3170) lopov
»

bank transfer na moj račun

Oddelek: Loža
204939 (4253) ender
»

Kako narediti varnostno kopijo certifikata v IE ?

Oddelek: Pomoč in nasveti
85439 (5349) xtrEeme
»

Placilo (nakazilo) v tujino, po novem ceneje !

Oddelek: Kaj kupiti
197043 (6518) bastadu
»

NLB tarča phishing-a (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11916713 (5152) Poldi112

Več podobnih tem