no i nadeszła kolejna fala wyciągania danych bankowych od klientów - tym
razem zabrali się za citi. Oto mail, który krąży po sieci:

===8<==============Original message text===============
From: Support <c...@c...com>
To: xxxx
Date: Wednesday, June 30, 2004, 12:45:10 PM
Subject: Please confirm your bank accounts with Citibank!

Dear Customer,
This email was sent by the Citibank server to verify your E-mail address.
You must complete this process by clicking on the link below and entering in
the small window your Citibank Debit Card number and PIN that you use on
ATM.

This is done for your protection - because some of our members no longer
have access to their email addresses and we must verify it.

To verify your E-mail address and access your bank account, click on the
link below:

https://wwww.citibank.com/signin/confirmation.jsp
===8<==============Original message text===============

Najciekawszy jest fakt, że ta strona wciąż działa!!!! Wiadomość przychodzi w
html i pod powyższym linkiem kryje się adres:
http://219.148.127.66/scripts/confirmation.htm
ten z kolei niby przekierowuje na:
https://web.da-us.citibank.com/signin/citifi/scripts
/confirmation.jsp
czyli de facto oryginalną stronkę citi.

A na stronie mamy formularz:
- numer karty debetowej
- data ważności
- numer konta w citi
- pin karty debetowej
i....
- SUBMIT

Oprócz tego działają linki Terms & Conditions oraz Citi.com. Jak to wszystko
tak dobrze działa? Bo ustawione jest przekierowanie w ramkach :-) I cały
fake działa de facto na oryginalnych informacjach ze stron citi. Zwróćcie
też uwagę, że jest informacja o kodowaniu, jest https w adresie www, a ssla
tak faktycznie nie ma!!!! Formularz, mimo że jest poskładany we FrontPage'u,
jest na tyle inteligentny, że fake'owego numeru karty nie łyka! i byle
śmieci się tam nie da wypisać, trzeba pewnie podać odpowiedni BIN :-)))
Pozatym fake działa tylko w iexplorerze bo np firefox nie pozwala na
kombinację z przekierowaniami adresów na ramkach. Jakoś trafia się
ostatecznie na stronę główną citi. Nie ma jak to PEWNA mozilla!!! :-)))

Strona http://219.148.127.66/scripts/confirmation.htm wykonuje zajebisty
manewr na iexplorerze - ukrywa oryginalny pasek adresowy z widoku
explorera - zwróćcie uwagę, że po kliknięciu "widok/paski narzędzi" pasek
adresu jest odznaczony!!! Proszę go zaznaczyć, a czarymary abrakadabra i
iexplorer pokaże DWA paski adresu !!!!!! Z tym że ten poniżej jest paskiem
wygenerowanym z kodu html!!! :-)))))) I dzięki temu na ramkach pod adresem
http://219.148.127.66 działa cały serwis citi
;-)))

Dziwię się, że to jeszcze się kręci, można by sparafrazować jedno ze znanych
powiedzeń - CITI ALWAYS SLEEPS ;-))))Koledzy Security Admini z Citi, WAKE
UP!!!! i do roboty, zlikwidować tą stronę!!!

Tego posta publikuję dla informacji i edukacji szanownych grupowiczów i
innych klientów polskich banków. Mam nadzieję, że ktoś lub jakieś media to
dalej poruszą, zrobi się koło tego trochę szumu i dzięki temu na taki
prostacki fake nie złapie się żaden klient polskiego banku.

pozdrawiam
tek

do góry

"tek" <t...@a...emailowy.pl> wrote in message
news:cc20g0$613$1@brodno.spray.net.pl...
>
> Dziwię się, że to jeszcze się kręci, można by sparafrazować jedno ze
znanych
> powiedzeń - CITI ALWAYS SLEEPS ;-))))Koledzy Security Admini z Citi, WAKE
> UP!!!! i do roboty, zlikwidować tą stronę!!!
>

Mysle, ze rano juz jej nie ujrzysz :)

> Tego posta publikuję dla informacji i edukacji szanownych grupowiczów i
> innych klientów polskich banków. Mam nadzieję, że ktoś lub jakieś media to
> dalej poruszą, zrobi się koło tego trochę szumu i dzięki temu na taki
> prostacki fake nie złapie się żaden klient polskiego banku.
>

Kazda osoba korzystajaca z uslug finansowych za pomoca internetu powinna
znac taki adres http://www.antiphishing.org/

Maciej

do góry

Użytkownik "tek" <t...@a...emailowy.pl> napisał w wiadomości
news:cc20g0$613$1@brodno.spray.net.pl...

> Dziwię się, że to jeszcze się kręci, można by sparafrazować jedno ze
znanych
> powiedzeń - CITI ALWAYS SLEEPS ;-))))Koledzy Security Admini z Citi, WAKE
> UP!!!! i do roboty, zlikwidować tą stronę!!!

Prawde mowiac, pierwszy raz dostalem to tak z poltora miesiaca temu.
Poslalem od razu do wydzialu przestepczosci elektronicznej (czy jak on tam)
w KGP. Mam swiadomosc, ze to sprawa miedzynarodowa, wiec moze chlopcy zbyt
duzego pola manewru nie maja, ale zadnego odzewu ze strony policji. Policja
takze spi?

--
Pzdr.
Marcin

PS. Pierwszy raz sie odzywam - witam na grupie.

do góry

tek <t...@a...emailowy.pl> wrote:
>
> adresu jest odznaczony!!! Prosz?? go zaznaczy??, a czarymary abrakadabra i
> iexplorer poka??e DWA paski adresu !!!!!! Z tym ??e ten poni??ej jest paskiem
> wygenerowanym z kodu html!!! :-)))))) I dzi??ki temu na ramkach pod adresem
> http://219.148.127.66 dzia??a ca??y serwis citi
> ;-)))
>
> Dziwi?? si??, ??e to jeszcze si?? kr??ci, mo??na by sparafrazowa?? jedno ze znanych
> powiedze?? - CITI ALWAYS SLEEPS ;-))))Koledzy Security Admini z Citi, WAKE
> UP!!!! i do roboty, zlikwidowa?? t?? stron??!!!

Ale przecież to chyba nie admini Citibanku tą stronkę zrobili?

I przez to mają mniej więcej takie same możliwości zdjęcia tej strony
co Ty, czyli mocno ograniczone.

Mogą na przykład napisać maila do odpowiedzialnego za dane numer IP
czy byc może i jemu nie podoba się okradanie ludzi, więc może by zdjął
tą stronkę?

A co jeśli to właśnie odpowiedzialnym za dany IP ten fake zrobił?

To może napisać do ich providera, że być może im też się nie podoba
okradanie ludzi, więc może by wyłączyli dostęp?

A co jeśli to właśnie ISP ten fake zrobił?

Można napisac maila do prokuratora danego kraju by natychmiastowo
nakazał wyłączyć te numery IP pod groźbą oskarżenia o pomoc w
przygotowaniu przestępstwa, a jeśli tego nie zrobią wysłać panów
policjantów na miejsce by wyciągnęli wtyczkę z gniazdka.

Ale to są Chiny, czy tam w ogóle jest prokurator, a jeśli nawet, to ma
dużo, w swoim mniemaniu ważniejsze rzeczy na głowie, jak odcinać
dostęp do stron internetowych o demokracji, a taki scam na klientów
Citibanku to pryszcz, a może nawet dobry bo ten cały Citibank to
demokratyczny jest, i źli ludzie potępiający komunizm z niego
korzystają, więc dobrze im dołożyć?

--
Miernik ________________________ xmpp:m...@a...info
___________________/__ tel: +48888299997 __/ mailto:m...@c...pl
http://www.miernik.ctnet.pl/ GPG:0xABC292D1

do góry

> Można napisac maila do prokuratora danego kraju by natychmiastowo
> nakazał wyłączyć te numery IP pod groźbą oskarżenia o pomoc w
> przygotowaniu przestępstwa, a jeśli tego nie zrobią wysłać panów
> policjantów na miejsce by wyciągnęli wtyczkę z gniazdka.
>
> Ale to są Chiny, czy tam w ogóle jest prokurator, a jeśli nawet, to ma
> dużo, w swoim mniemaniu ważniejsze rzeczy na głowie, jak odcinać
> dostęp do stron internetowych o demokracji, a taki scam na klientów
> Citibanku to pryszcz, a może nawet dobry bo ten cały Citibank to
> demokratyczny jest, i źli ludzie potępiający komunizm z niego
> korzystają, więc dobrze im dołożyć?

i właśnie dlatego np większośc normalnych krajów całkowicie blokuje maile
wysyłane z Korei Południowej - ten kraj przez swoje bezczelne podejście do
kwestii spamu dorobił sie już takiej opinii że nikt nie chce mieć wogóle z
nimi nic wspólnego

Chiny też już niektórzy providerzy zaczynają blokować jako całość - może nie
jest to idealna metoda - ale może w końcu czegoś nauczy tamtych operatorów

do góry

Paweł wrote:

> i właśnie dlatego np większośc normalnych krajów całkowicie blokuje
> maile wysyłane z Korei Południowej - ten kraj przez swoje bezczelne
> podejście do kwestii spamu dorobił sie już takiej opinii że nikt nie
> chce mieć wogóle z nimi nic wspólnego
>
> Chiny też już niektórzy providerzy zaczynają blokować jako całość -
> może nie jest to idealna metoda - ale może w końcu czegoś nauczy
> tamtych operatorów

Jakoś nie zaważyłem aby istniejąca u wielu zachodnich operatorów
blokada na adresy neostrady i modemowe nauczyła czegoś tepsę.....

do góry

jureq dnia 2004-07-02 14:50 napisał(a) co następuje:

>>Chiny też już niektórzy providerzy zaczynają blokować jako całość -
>>może nie jest to idealna metoda - ale może w końcu czegoś nauczy
>>tamtych operatorów
> Jakoś nie zaważyłem aby istniejąca u wielu zachodnich operatorów
> blokada na adresy neostrady i modemowe nauczyła czegoś tepsę.....

O jakiej blokadzie piszesz? O tej na adresy 83.x.x.x?

Jeśli tak, to chyba nie rozumiesz problemu: w zamierzchłych ;) czasach
ta klasa adresów była zdefiniowana jako "zarezerwowana" i wiele
operatorów ją blokowało (na wszelki wypadek). Jakiś czas temu została
uwolniona i jest normalnie przydzielana różnym ISP. Lecz nie wszyscy
zachodni operatorzy (zwłaszcza w US) przejęli się tym-blokada pozostała.

Co gorsza, część sieci została raz skonfigurowana i od wieeelu lat nikt
nic nie zmieniał ("żeby nie zepsuć"), czasem nie sposób jest odzyskać
hasła chroniące dostęp do konfiguracji takich routerów! - nikt ich nie
pamięta, a nawet nikt nie pamięta, kto konfigurował sprzęt :)

I blokada na 83.x.x.x pozostaje...

Polecam wątki na pl.internet.polip.

Marek

do góry

tek wrote:
> no i nadeszła kolejna fala wyciągania danych bankowych od klientów -
> tym razem zabrali się za citi. (.....)

zawsze zabierają się za shiti - to jedyny bank, z ktorego można wyprowadzic
forse znajac statyczny login i haslo :-)
Każdy inny normalny bank dokłada jeszcze cokolwiek
*** blad ***

do góry

Marek Madej wrote:

>> Jakoś nie zaważyłem aby istniejąca u wielu zachodnich operatorów
>> blokada na adresy neostrady i modemowe nauczyła czegoś tepsę.....
>
> O jakiej blokadzie piszesz? O tej na adresy 83.x.x.x?

Nie chodzi mi o 83... Coraz cęściej spotykam się z wypadkami, że osoby
korzystające z własnego MTA w linuksie na neostradzie nie mogą wysłać
poczty głównie do Zach Europy zazwyczaj do dużych poważnych instytucji
bez skorzystania ze "smarthosta" np w postaci servera onet-u. Pingi do
MX-a odbiorcy dochodzą, rev DNS-y tepsa ma już OK, a servery dają różne
dziwne odpowiedzi 5xx z nic nie znaczącymi komunikatami.

do góry

blad <blad201@_w_y_t_n_i_j_o2.pl> wrote:
>
> zawsze zabierają się za shiti - to jedyny bank, z ktorego można wyprowadzic
> forse znajac statyczny login i haslo :-)
> Każdy inny normalny bank dokłada jeszcze cokolwiek

A Millennium? Dwa hasła co prawda, ale też kiepsko.

--
Miernik ________________________ xmpp:m...@a...info
___________________/__ tel: +48888299997 __/ mailto:m...@c...pl
http://www.miernik.ctnet.pl/ GPG:0xABC292D1

do góry