Fałszywe wiadomości wysyłane w imieniu Alior Banku

W rzeczywistości przesyłki pochodzą z USA - ta odebrana przez nas z serwera firmy Zipcon w Seattle oferuje m.in. konta poczty elektronicznej. Fałszywe wiadomości próbują wprowadzić użytkowników w błąd i zwabić ich do domeny atakującego. Po kliknięciu odnośnika umieszczonego w e-mailu, otwiera się witryna, która wyglądem przypomina stronę Alior Banku. Znajduje się na niej formularz, który służy do pozyskiwania informacji umożliwiających zalogowanie się do oryginalnego e-banku.

Spostrzegawczy użytkownicy zauważą jednak, że na stronie nie działa większość odnośników, a adres z paska nie rozpoczyna się schematem https:// wskazującym na szyfrowane połączenie i jest zupełnie inny niż adres banku.

Po kliknięciu odnośnika, w przeglądarce otwiera się zawartość zlokalizowana pod http://www.webmasterworld.de/aliorbank.pl/hades/do/Login.php. Domena webmasterworld.de jest własnością osoby prywatnej zamieszkałej w Lipsku, natomiast adres typu Provider Aggregable należy do niemieckiej firmy Cronon AG z Regensburga. Niewykluczone, że właściciel domeny nie ma z atakiem nic wspólnego, lecz ktoś zdyskredytował jego serwer WWW.

Wygląda to na skierowany atak przygotowywany ręcznie, bez korzystania z sieci botów, tak jak to było w przypadku phishingu wymierzonego w Bank Zachodni WBK. Podobna do tamtego ataku jest natomiast treść wiadomości, równie niedbale przetłumaczona na język polski.

Fałszywa witryna została oznaczona jako niebezpieczna przez mechanizm Safe Browsing Google i przeglądarki korzystające z tego API wyświetlają odpowiedni komunikat ostrzegawczy. Użytkownicy powinni zawsze upewniać się, czy otwierana w przeglądarce strona jest tą, za którą się podaje, sprawdzając pasek adresu, pasek stanu i weryfikując dane zapisane w certyfikacie SSL.