VirusHunter предупреждает всех пользователей ПК о распространении злоумышленниками фальшивых писем от имени ПриватБанка с целью выуживания конфиденциальных клиентских данных для последующего хищения денежных средств...


1. Фальшивые письма.

19 апреля 2005 года неизвестными злоумышленниками была произведена массовая рассылка фальшивого письма, якобы отосланного отделом технической поддержки клиентов ПриватБанка. Рассылка производилась на произвольные почтовые адреса.
Данное письмо сгенерировано при помощи специализированной программы для рассылки спама (точно определить, какой именно, не представляется возможным). Судя по коду послания, его массовая рассылка была произведена 19 апреля, примерно в 04.40 утра, с сервера/через сервер 195.190.99.162.
К счастью, в коде послания содержится ошибка, в результате которой получатели данного письма могут увидеть вместо форматного текста "битый", с массой "мусора", представляющего собой некорректный HTML-код тела письма. Поэтому вполне естественным является желание просто удалить данное письмо, не утруждая себя попытками прочитать содержащийся в нем текст. Однако, не исключается вероятность того, что злоумышленники могут исправить ошибку, после чего попытаются осуществить повторную рассылку послания.
Письмо имеет следующие характерные приметы:


В качестве адреса "отправителя" указывается service@privatbank.com.ua.
В оригинале (если исправить ошибку в коде послания) текст письма выглядит следующим образом:



2. Фальшивый сайт.

Если письмо попадает доверчивому клиенту ПриватБанка и он (клиент) вызывает указанную в тексте послания ссылку, то сперва происходит переадресация вызова на URL

http://www.anvoxhk.com/CAB-pages/1007-1.htm

, а затем появляется страница-"имитатор" ПриватБанка, расположенная по адресу

http://animalswithus.net

Данный домен зарегистрирован на сервере "http://www.melbourneit.com" 11 апреля 2005 года.
Данная фальшивая страница выглядит следующим образом:


Также появляется дополнительная страница (чтобы убедить пользователя в подлинности сайта?)


Интересен тот факт, что злоумышленники, очевидно, использовали оригинальный интерфейс страницы ПриватБанка, но скопированный еще в конце января 2005 года, о чем свидетельствуют даты курсов валют и новостных статей, указанные на странице.


3. Похищение конфиденциальных клиентских данных.

При вводе клиентом ПриватБанка своих конфиденциальных данных - логина и пароля в соответствующих полях страницы с целью проверки состояния денежного счета (здесь, кстати, можно ввести любые данные и, несмотря на это, они будут приняты, что является лишним доказательством подделки сайта), происходит вызов страницы, расположенной по адресу

http://animalswithus.net/proceed.php

и содержащей "банковскую" форму для ввода секретных клиентских данных:


Все введенные в соответствующих графах формы данные становятся достоянием злоумышленникам после нажатия пользователем панели "Активизировать". При этом вызов перенаправляется на адрес

http://animalswithus.net/success.php

, а на экран выдается ложное сообщение об "ошибке идентификации пользователя":


Таким образом, злоумышленники получают полный доступ к банковскому счету жертвы.


Разработчик описания: Бройде Герман (aka VirusHunter)
Дата создания: 21.04.2005
Дата внесения последних изменений: 21.04.2005
Благодарности: Авраменко Алексею (aka Swat2) за информационную поддержку
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00154113769531