no i nadeszła kolejna fala wyciągania danych bankowych od klientów - tym
razem zabrali się za citi. Oto mail, który krąży po sieci:

===8<==============Original message text===============
From: Support <c...@c...com>
To: xxxx
Date: Wednesday, June 30, 2004, 12:45:10 PM
Subject: Please confirm your bank accounts with Citibank!

Dear Customer,
This email was sent by the Citibank server to verify your E-mail address.
You must complete this process by clicking on the link below and entering in
the small window your Citibank Debit Card number and PIN that you use on
ATM.

This is done for your protection - because some of our members no longer
have access to their email addresses and we must verify it.

To verify your E-mail address and access your bank account, click on the
link below:

https://wwww.citibank.com/signin/confirmation.jsp
===8<==============Original message text===============

Najciekawszy jest fakt, że ta strona wciąż działa!!!! Wiadomość przychodzi w
html i pod powyższym linkiem kryje się adres:
http://219.148.127.66/scripts/confirmation.htm
ten z kolei niby przekierowuje na:
https://web.da-us.citibank.com/signin/citifi/scripts
/confirmation.jsp
czyli de facto oryginalną stronkę citi.

A na stronie mamy formularz:
- numer karty debetowej
- data ważności
- numer konta w citi
- pin karty debetowej
i....
- SUBMIT

Oprócz tego działają linki Terms & Conditions oraz Citi.com. Jak to wszystko
tak dobrze działa? Bo ustawione jest przekierowanie w ramkach :-) I cały
fake działa de facto na oryginalnych informacjach ze stron citi. Zwróćcie
też uwagę, że jest informacja o kodowaniu, jest https w adresie www, a ssla
tak faktycznie nie ma!!!! Formularz, mimo że jest poskładany we FrontPage'u,
jest na tyle inteligentny, że fake'owego numeru karty nie łyka! i byle
śmieci się tam nie da wypisać, trzeba pewnie podać odpowiedni BIN :-)))
Pozatym fake działa tylko w iexplorerze bo np firefox nie pozwala na
kombinację z przekierowaniami adresów na ramkach. Jakoś trafia się
ostatecznie na stronę główną citi. Nie ma jak to PEWNA mozilla!!! :-)))

Strona http://219.148.127.66/scripts/confirmation.htm wykonuje zajebisty
manewr na iexplorerze - ukrywa oryginalny pasek adresowy z widoku
explorera - zwróćcie uwagę, że po kliknięciu "widok/paski narzędzi" pasek
adresu jest odznaczony!!! Proszę go zaznaczyć, a czarymary abrakadabra i
iexplorer pokaże DWA paski adresu !!!!!! Z tym że ten poniżej jest paskiem
wygenerowanym z kodu html!!! :-)))))) I dzięki temu na ramkach pod adresem
http://219.148.127.66 działa cały serwis citi
;-)))

Dziwię się, że to jeszcze się kręci, można by sparafrazować jedno ze znanych
powiedzeń - CITI ALWAYS SLEEPS ;-))))Koledzy Security Admini z Citi, WAKE
UP!!!! i do roboty, zlikwidować tą stronę!!!

Tego posta publikuję dla informacji i edukacji szanownych grupowiczów i
innych klientów polskich banków. Mam nadzieję, że ktoś lub jakieś media to
dalej poruszą, zrobi się koło tego trochę szumu i dzięki temu na taki
prostacki fake nie złapie się żaden klient polskiego banku.

pozdrawiam
tek