Az online bűnözés világában valójában nincs új a nap alatt, a cél mindig a gyanútlan internetezők kifosztása. A karácsonyi időszakban természetesen ezeknek az átveréseknek a száma is megnő. A Sophos cikke egy ilyet mutat be.
Maximum a módszerek finomodnak az évek során, de az alapvető elképzelés legtöbbször változatlan: pénz szerzése bárhogy. Az App Store-ban már egy ideje folyamatosan jelennek meg átverős alkalmazások, amik nem lopják el a bankkártyánk adatait, hanem direktben beszedik az átverés-adót azoktól, akik bedőlnek a tündérmeséknek, hogy kedvenc jailbreakes alkalmazásuk mégis megjelent végre az App Store-ban, ráadásul olcsóbban is, mint a Cydiában. Persze ők aztán hamar rájönnek, hogy olcsó húsnak híg a leve, mert a letöltött alkalmazás végül köszönőviszonyban sincs az App Store-ban található leírással és képernyőképekkel.
Pár ilyen alkalmazásról és a megoldási lehetőségekről már írtunk bővebben, amiből azt is megtudhatod, hogy miért nem szűri ki ezeket már az elején az Apple, de tegnap is találkoztunk egy újabbal, amit azóta szerencsére szintén töröltek a Store-ból.
Ugyanakkor sokan dőlhetnek be egy olyan átverésnek, amiben egy hamis számlát kapnak egy meglehetősen borsos összeggel. Persze ha valaki pláne nem használ Apple termékeket, vagy nincs is Apple ID-ja, vagy pláne nem amerikai ID-ja van, csak méginkább meglepődik a dolgon, és még valószínűbb, hogy arra kattint, amire nem kellene, hiszen őt ne akarják átverni egy hamis számlával. Nos, ebben az esetben pont ezt használják ki a csalók.
Megérkezik tehát az email, látszólag az Apple nevében, és egy $699.99 (nagyjából 152.000Ft) értékű vásárlás értékét kívánja behajtani a gyanútlan áldozaton:
Ugyan a “Billed to:” mezőben a “%email%” kissé furcsán hathat, de a módszer arra alapoz, hogy a meglepett címzett természetesen nem érti majd a dolgot, és azzal a felháborodott lendülettel rögtön a “Cancel order” vagy a “Not your order?” lehetőségek valamelyikére kattint, hiszen ő nem rendelt semmit, neki ne számlázzanak. A “View/Download” link egy download.jpg.exe fájlt töltene le, míg a “Cancel order” vagy a “Not your order?” egy check.php-ra mutatnak.
A check.php természetesen egy hibát fog dobni, miszerint az áldozat egy nem támogatott böngészőt használ, és persze előzékenyen felkínálja letöltésre a támogatott böngészők legfrissebb verzióját. Hogy aztán az amerikai adóhatóság, az IRS logója mit is keres pontosan az oldalon, az már jó kérdés:
Amint ez az oldal megjelenik, az megpróbál különféle exploitokat kihasználni az Oracle Java, Adobe Flash Player és Adobe Reader programokban, ha azok telepítve vannak. Ha bármelyik esetén sikerrel jár, megfertőzi a számítógépet a Zeus/ZBot trójaival.
Ha ezek egyike sem működne, akkor még mindig ott van, hogy a felhasználó rákattintson a “friss” verziójú böngésző letöltésére, amivel egy update.exe töltődik le, és szintén a trójait telepíti.
Miután vagy a fertőzés járt sikerrel a háttérben, vagy sikerült letölteni és futtatni a “frissítést”, a Zeus/ZBot trójai elkezdi naplózni a billentyűleütéseket, különleges figyelmet szentelve a banki adatainknak.
Megelőzés
Az emailben érkező linkek esetén mindig figyeljünk oda, mire kattintunk, hiszen amit maga a levél ír, az közben linkelhet máshová is. Ezt a legtöbb levelezőben ellenőrizhetjük úgy, hogy a link fölé visszük az egeret, és ott tartva megjelenik, hogy hova is mutat az a link. Ha az más domainre mutat, mint a feladó és a levél témája alapján az várható volna, ne kattintsunk rá.
Ha számunkra furcsa számlát kapunk egy olyan cégtől, akivel bármiféle szerződésben állunk, akkor ne kattintsunk semmi linkre a levélben, hanem az adott cég elérhetőségén kérdezzük meg őket a dologról, és legtöbbször kiderül, hogy ők ilyen levelet sosem küldtek. Az iTunes-ban történt vásárlásainkkal kapcsolatos kérdéseket például intézzük az Apple magyarországi képviselete felé. Ha meg pláne nem állunk szerződésben a levelet feladó céggel, szintén felelőtlenség lenne kattintani bármire.
Az elsősorban a Windows-os rendszereket támadó kártevőktől ugyan a más operációs rendszereket használók nagyrészt védettek (Windows esetén rendszeresen frissített vírusirtó egyszerűen követelmény), de sok olyan megoldás van, ami akár az OS X-et, akár a Linuxot használók gépeit is fenyegeti. Ha valami kapcsán felmerül a kétely, inkább ne kattintsunk rá.
5 Comments
jó kis email…
én is kaptam ilyet és bizony rá is klikkeltem a a “Cancel order” és “Not your order?-ra… Viszont miután v.mi kamú oldalt töltött be nem is mentem tovább és bezártam…
mac-em van… akkor történhetett a gépemmel v.mi vagy még időben zárhattam be…? 🙂
@kiraly@me.com: ez elsősorban windows-os gépekre ugrik. a trójai wikipédiás oldalán ezt írják róla: “The botnet does not work on Mac OS X, or Linux.”, szóval nem tűnik valószínűnek, hogy bármit csinálhatott volna OS X esetén.
(A cikkeknél minden OFF-topic hozzászólást törlünk. Erre van a kereső a jobb felső sarokban, illetve a Gyakran Ismételt Kérdések cikk. Kérünk, használd a keresőt, vagy ha az nem ad eredményt, a linkelt cikknél tedd fel a kérdésed!)
Hogy lehet egy ilyen kamunak bedőlni? Még ha hivatalosan az apple email címéről is küldenének egy ilyet, akkor se kattintanék az ég világon sehová… Főleg, hogy gondolom valami @gmail.com címről küldték ezeket a rettentően átverős emaileket…
@iBenito: feladót hamisítani rém egyszerű, a levél fejlécének forrását meg nagyon kevesen nézik meg.