V pátek ráno jsem i já stejně jako tisíce dalších uživatelů obdržel mail, který se na první pohled tvářil jako zcela legitimní email ze společnosti Active 24, která je důležitým hráčem na poli webhostingů a registrace domén v ČR. Email byl doručen na oficiální emailovou adresu naší společnosti s tím, že právě doména společnosti textfactory.cz nemá zaplaceno prodloužení registrace doménového jména a je nutné tuto platbu udělat do 24 hodin, jinak dojde k zastavení domény. Mail, jak můžete vidět v galerii, skutečně odpovídal oficiálním mailům, které provideři posílají a proto jsem se na něj podíval a přihlásil se do systému.
Zde je důležité podotknout, že systém akceptoval jakékoli heslo a jméno, které jste zadali a okamžitě vás přesměroval na vložení informací o platební kartě. Celá stránka přitom vypadala opravdu extrémně důvěryhodně a jediné, co na ni bylo podezřelé byla url adresa, kterou však vidíte až po jejím rozkliknutí, což lidé běžně nedělají. Naštěstí mi v ten moment došlo, že Text Factory stejně jako drtivou většinu domén máme registrované u jiného poskytovatele a proto jsem se na mail i url podíval podrobněji a v ten moment bylo jasné, že se jedná o jeden z nejsofistikovaněji vypadajících phishingových útoků, které kdy v ČR proběhly.
Fotogalerie
Mail i web totiž vypadaly skutečně extrémně věrohodně a zjistit, že jde o podvod nebylo vůbec snadné. Útok mířil na klienty společnosti Active 24 a těchto mailů bylo odesláno tisíce. Exkluzivně se nám k útoku vyjádřila Country manažerka Active 24 pro ČR paní Martina Pohořelická, která uvedla, jakým způsobem probíhal během pátečního dne útok na jejich klienty. Její vyjádření naleznete níže:
- 10:27 zaznamenali jsme phishingový útok (tisíce doručených podvodných mailů) na naše zákazníky, který poměrně důvěryhodně napodoboval rozhraní adminpanelu ACTIVE 24 a měl za cíl podvodně přimět uživatele k vložení údajů o platební kartě do falešného formuláře (pod záminkou urgentní úhrady doménového jména).
- 10:38 během deseti minut jsme zablokovali emaily došlé z adresy @st-email.com a ověřili jsme, zda z se stejných IP adres nechodí další phishing, což se nepotvrdilo, proto jsme nemuseli přistoupit k dalším zásahům naší straně. Také jsme zveřejnili upozornění na phishingové zprávy na našem Facebooku, login page do adminpanelu a homepage.
- 12:12 dále jsme kontaktovali registrátora v Rusku, u kterého byla provozovaná podvodná stránka, a požádali ho o její zablokování.
- 12:23 Odkazy v emailu přestaly fungovat (a tedy sbírat případná data z kreditních karet podvedených uživatelů) – 404 Not Found.
Active 24 tedy zareagoval poměrně rychle a situaci řešil již během doručení prvních emailů. Je však vidět, že phishingové útoky jsou v poslední době čím dál tím sofistikovanější a už se zdaleka nejedná jen o maily vyzývající k zaplacení dovozního cla za balíček od pošty nebo kurýrní společnosti, které každému chodí na denní bázi. Dávejte si tedy opravdu velmi dobrý pozor a věnujte zvýšenou pozornost i emailům od známých společností, jejichž služby skutečně využíváte.
Sofistikovaný útok vypadá trochu jinak, na toto mohl naletět jenom nějaký JELIMAN.
každý není tak dokonalý jako vy pane Stránský…. musíte se smířit s tím, že žijete na planetě i s obyčejnými lidmi…. jinak byste tak nevynikal
Troufnu si říct, že v tomto případě není phishing opravdu těžké poznat. Už jen samotný nadpis nezní moc česky – Způsob platby Nepodařilo se. Další věta také obsahuje nesprávné užití češtiny – po oslovení se píše malé písmeno, tady je užito velké. Doporučuji si nastavit zobrazování celé e-mailové hlavičky, kde mimo jiné vidíte adresu odesílatele. Podezřelé je také rozdílné označení stejné značky – firmy většinou dbají na to, aby byl jejich název jasně rozpoznatelný, tady je odesílatel Active(mezera)24, zatímco v podpisu je Active24 (bez mezery). Odkaz pod slovy „Klikněte zde“ je také krajně podezřelý, většinou lze pozorovat spíš tlačítko v barvě značky (v tomto případě bych volil červenou) a nápisem „přihlásit k účtu“, „provést platbu manuálně“, atd..
Mimochodem, Active 24 nemá úplně nejlevnější domény a tak je obnovovací cena 170 Kč podezřele nízká. Dle platného ceníku Active 24, je cena prodloužení cz domény 325 Kč s DPH, tedy téměř dvojnásobek požadované ceny. Dokonce je i nižší než cena za první rok (241 Kč), ta přitom zpravidla bývá nižší než cena prodlužovací. Nepředpokládám, že tohle by vlastníkům jedné nebo dvou domén nepřišlo podezřelé.
Tak to se omlouvám, ale mám desítky domén a vůbec netuším, zda někde platím 170Kč nebo 240Kč … věřím, že pro drtivou většinu lidí je to mimo rozpoznávací úroveň. To že se nezdařila platba je klasická infromace, která chodí například i z FB atd.
Nerozporuji, že e-mailem nechodí zprávy o nezdařené platbě, sám se s takovými hláškami několikrát za měsíc setkávám, pouze upozorňuji na nesmyslné označení „Způsob platby Nepodařilo se“. Více česky zní například „Platba se nezdařila“, „Nepodařilo se provést platbu“, .. V e-mailu by mělo být napsáno stav platby, nikoli způsob. Způsob platby může být kartou, převodem, hotově , ledvinou, .. , zatímco stav je „zaplaceno“, „nezaplaceno“, „stornováno“ , .. .
Chápu, že Vy si ceny v tomto množství domén zřejmě nevšimnete, proto píšu o obyčejných lidech, kteří nemají větší množství domén, a pro které je pravděpodobně tento článek. Přesto byste měl mít alespoň rámcově přehled o ceně domén. Pokud by Vám přišel e-mail s nezdařenou platbou za 5 cz domén s požadovanou částkou 2585 Kč, zaplatil byste ji? Bez základního přehledu pravděpodobně ano a tím byste dle aktuálního ceníku u Active 24 přišel zhruba o 900 Kč. Sám mám alespoň hrubý přehled o tom, jak drahé jsou základní domény u několika poskytovatelů, což mi pomáhá nejen při phishingových podvodech, ale i při registraci a prodloužení domén.