Az egyik barátom átküldött nekem egy e-mailt, amelyet gyanúsnak érzett, és kérte, hogy nézzem meg, mit gondolok róla.

Utólag kiderült, hogy jól tette… Na lessünk bele, hogy is néz ki egy ilyen csoda!

Maga a támadás klasszikus adathalászat, amely során a támadók minden általunk megadott adatot eltárolnak. A leggyakoribb ilyen adatok:

  • e-mail cím
  • felhasználónév
  • teljes név
  • jelszó
  • születési dátum
  • bankkártya adatok

Jelen esetben az e-mail így nézett ki:

Az email közli velünk, hogy megérkezett a havi számlánk, amely szinte teljesen megegyezik a valós emaillel.

Az e-mailben két darab link található, egyrész az NKM Online Ügyfélszolgálat, másrészt a Bankkártyás Fizetés.
Ebben az esetben mind a két link ugyanarra az oldalra mutat: https://nkm.magyar.eportaln.com/Ugyfelszolgalat/
Egy kicsit ha elkezdjük elemezni a címet, az alábbiakat állapíthatjuk meg:

Az alap domain az eportaln.com, amelynek a felépítését az alábbi képernyőképen láthatjuk. Kizárólag 1 egyedi subdomainje van, amely az e-mailben megtalálható nkm.magyar.eportaln.com.

Ha megvizsgáljuk a kiszolgáló szerver IP címét, akkor kiderülhet, hogy egy amerikai tárhely és domain szolgáltatónál regisztrálták. Ezzel sajnos nem tudunk mit kezdeni, mivel ezek a szolgáltatók nem kötelesek kiadni a regisztráló személyét. A hatóságok majd intézik! 🙂

Térjünk át magára a weblapra, mit láthatunk, ha megnyitjuk, és mik azok a dolgok amikből rájöhetünk, hogy valami nagyon bűzlik!

Első ránézésre nagyon pöpec oldalnak tűnik, és még akár el is hinné az ember, hogy ténylegesen az NKM-en van. Gondolom már mindenki számára elcsépelt a szöveg, hogy nézd a kis lakatot a weblap címe mellett, mert ha az nem piros, akkor nincs gond!
Ez sajnos részben igaz. Járjuk körbe ezt a témát!

Jelen esetben nem piros a lakat, és mégis fájna, ha ténylegesen megadnék adatot ezen az oldalon! Arra a lakatra rá is lehet kattintani, és bátran tegyük is, sőt ne álljunk meg itt,  hanem  nézzük meg azt a cert-et amiről azt írja, hogy valid!

Amikor rákattintunk magára a certre, láthatjuk, hogy a kiállító nem egyezik az eredeti https://www.nkmenergia.hu/ oldalon használt cert-el. Jól látható, hogy az alsó a Netlock Közjegyzői Tanúsítványkiadótól származik, amely az eredeti nkm oldalé, míg a felső cert, egy szintén megbízható cert-et előállító szolgáltató, de nem az NKM által használt Netlock.

Itt fontos ezt a differenciát észrevenni, és abban a pillanatban bezárni az oldalt, és semmilyen adatot megadni!

Ha még ezek alapján sem gondoljuk azt, hogy az egész átverés, nézzük meg magát az oldalt! Ha rákattintunk bármilyen linkre, egyik sem működik. Akármelyikre kattintunk, csak annyi történik, hogy a jelenlegi oldalt újratölti. Miért van ez? A támadó nem akarja elengedni azt a felhasználót, aki már rákattintott az oldalra. Nagy kincs ez neki! A lenti képernyőképen látható, hogy az <a href> HTML tag-ek nincseken megírva, így az átirányítás csak a jelenlegi oldalra történik.

Jelentkezzünk be! Ajjaj nincs NKM-es userem! Nem baj, nézzük meg mi történik, ha egy karaktert írok be!

Már jön is a hibaüzenet, hogy adjam meg a felhasználónevem és jelszavam! Ez érdekes hozzáállás, de valamilyen szinten érthető a támadók megközelítése. Ezeket az ide beírt információkat egy adatbázisban tárolják el, és nem akarják, hogy 1-1 karakterrel “teleszemetelje” bárki is az értékes adatokat tartalmazó adatbázist.

Kis vizsgálódás után kiderült, hogy a felhasználónév esetében minimum 4 karaktert fogad el, a jelszó esetén pedig 1 kell neki.
Ha ezeket a feltételeket biztosítjuk, akkor rögtön egy ismerős oldalra érkezünk, ahol már a bankkártya adatainkra kíváncsiak. Pirossal megjelöltem a képen azokat a pontokat, amiket ÉSZRE KELL venni, hogy ne nyúlják le az adataid!

Ha ezen a felületen megadod a bankkártya adataid, akkor azok eltárolásra kerülnek egy adatbázisban, és valószínűleg eladják valakinek a deep-weben.

Remélem sikerült felhívni a figyelmet azokra a pontokra, amelyek lebuktatják ezeket az oldalakat, és nem adod meg az adataid nekik!