[ Mitkoni @ 14.10.2014. 14:55 ] @
Sinoc mi dolazi e-mail od [email protected] kako trebam da verifikujem nekakvu kupovinu a ja se ne seca da sam bilo sta kupovao kada kazem da se ne secam znaci da nisam.
Ulazim na njihov sajt gledam korpu i kupovinu navodno ne vidim da sam bilo sta pazario.

Citam dalje e-mail rekoh hajde da vidim o cemu se radi. Gledam 'Inspect element' vidim da me ponudjeno dugme "Confirm Now" prebacuje na neki sajt http://regalpac.com/gateway.php?********** izlogujem sa na oficijalnom sajtu amazon.com radi sigurnosti i odlucim se da potvrdim tu nekaku 'kupovinu' ili sta vec prethodni link me prebacuje na link http://oglas.hr/account/ap2/********* i navodno trazi da se ponovo logujem.

Ponovo sam se logovao ali opet na oficijalnom sajtu amazon.com i vracam se ponovo da bih verifikovao tu kupovinu navodno mi ponovo trazi da se logujem na ovom linku oglas.hr sto naravno nisam uradio.

O cemu se radi?
[ valjan @ 14.10.2014. 17:02 ] @
Klasičan phishing, da li si siguran da si stvarno ušao na sajt Amazona, odnosno da li si kliknuo na link iz mejla ili si otvorio amazonov sajt u browseru sam? I proveri kako ti email klijent prikazuje email adrese, ako se From drastično razlikuje od Reply-To (odnosno Return-Path) polja, ono tipa From je [email protected] a Reply-To je [email protected], slobodno odmah preusmeri u Junk/Trash/Spam ili kako ti se već zove folder za takve poruke. Ako si kliknuo na link u emailu i zatim uneo user i pass na sajtu koji se otvorio, postoji velika verovatnoća da sad neko zna tvoj user i pass na Amazonu, pa ti je moj savet da što pre promeniš pass dok nije kasno.
[ Mitkoni @ 14.10.2014. 17:15 ] @
Napisao sam se da sam se najpre izlogovao pa ponovo ulogovao na oficijalnom sajtu.
Ako procitas ponovo prvi post bice ti jasnije sta sam uradio.

Hocu reci da se nisam logovao na to dugme gde ima ponudjeno da "uradim potvrdu" :)
[ valjan @ 14.10.2014. 20:49 ] @
Znaš kako, da je jasno ne biih postavljao dodatna pitanja. Teško je pratiti toliki tekst kad nemaš nijednu zapetu ;-) U svakom slučaju, ako nisi siguran da si se ulogovao na oficijelnom Amazonu (to što izgleda kao zvanični ne mora da znači i da jeste), promeni lozinku za svaki slučaj...
[ Mitkoni @ 15.10.2014. 01:21 ] @
Nema potrebe za zarezima bilo gde zato sam i napravio novi red i naveo da sam na e-mail inspect elements i dok je poruka bila otvorena na e-mail pojavio se taj prvi link koji prebacuje na taj drugi naravno kada kliknem tu potvrdu.



Niko drugi do mene ne koristi racunar tako da sam siguran da nije neki fake amazon.com otvaran. A da bih bio jos sigurniji otvorio sam amazon sa https.
I kao sto sam rekao u prvom postu - pre nego sto sam hteo da potvrdim prethdno sam se izlogovao sa oficijalnog i vratio se na email da izvrsim potvrdu, kada sam video da mi trazi ponovno logovanje izasao sam sa tih linkova i vratio se ponovo na oficijani i logovao se, zatim sam jos jednom otisao na email da ponovo potvrdim ali opet je trazilo da se logujem na tom linku koji sam dobio email. Sto naravno ja to nisam uradio jer mi je postalo sumnjivo ako sam se prethodno ulogovao na oficijalnom amazon.com

Mislim da sam ovim postom bio jasniji? Mislim da nemam potrebe za menjanjem lozinke jer se nisam logovao na tom sumnjivom linku.
[ mr. ako @ 15.10.2014. 02:33 ] @
Da si malo mudrije razmisljao, ne bi uopste ni kliknuo na taj link. :)
[ valjan @ 15.10.2014. 03:27 ] @
Pa čemu onda cela ova tema? Ja takvih mailova dobijam na tone, ali mi je mail klijent podešen tako da vidim sva zaglavlja, jer From polje se veoma lako lažira, ali neka polja u zaglavlju prilično teško, tako da odmah vidim da li se radi o phishingu ili ne. Uostalom, sama adresa odakle je stiglo je već trebala da potvrdi sumnju: account@amazon.com. I nije nikakav problem da se kreira email ili stranica da izgledaju kao pravi, kad mogu da postoje toliki lažni satovi, farmerke, tašne, patike, trenerke, itd. naravno da nije nikakav problem da se iskopira malo HTML i CSS koda pa da sve izgleda uverljivo. Naravno da ne postoji nikakav order, kao što ni Google ne deli 50.000$ (i ne znam koja je još šema aktuelna ovih dana), a svrha svega je da te prevare da ti klikneš na link, pokušaš da se uloguješ na lažnoj stranici, i samim tim ostaviš svoj user i pass koji će oni kasnije da zloupotrebe. Očigledno nisi naseo na njihovu provokaciju, a ubuduće je dovoljno da klikneš na onu strelicu pored "to me" u zaglavlju poruke, ispod email adrese pošiljaoca, pa da vidiš celo zaglavlje, i sigurno u ovom tvom slučaju u Reply-To i u mailed-by poljima ne stoji amazon.com nego nešto drugo, što je jasan znak da se radi o prevari. Ako želiš da ubuduće budeš još malo sigurniji, u podešavanjima Gmail-a imaš Labs jezičak gde možeš uključiti opciju "Authentication icon for verified senders" a ovde možeš pročitati šta ona radi: https://support.google.com/mail/answer/3070163.

A što se zapeta tiče, naravno da su bitne, uzmi samo kao primer čuvenu rečenicu "lets eat grandma", smisao se menja drastično bez zapeta ;-)
[ mr. ako @ 15.10.2014. 03:42 ] @
Ma sto je najgore, i sam je rekao da linkovi u mailu vode na neke "leve" sajtove. Dalje od toga nije ni morao istrazivati. :D Nije cak morao ni ici na "Inspect Element", vec je dovoljno da je presao misem preko linka i pogledao u status baru, adresu na koju vode linkovi. ;) A i sam izgled Amazon dugmica i fontova nije verno kopiran, tako da je i to vec dovljno. A i Amazon takve mailove ne salje nikad, sigurno nikad nije dobio takav mail od njih, pa nije ni zaglavlje morao proverati cak. :) Znaci bez ikakvog tehnickog znanja mozes da provalis da se ne radi o legitimnom mailu, dovoljan je vizuelni pregled. :)

E sad, posto je vec kliknuo na (unique) link, potvrdio je da se ta mail adresa >aktivno< koristi, da user koji kontrolise mail adresu voli da klikce na linkove u mailu, itd. A spameri ce to rado iskoristiti... Ako nista drugo, obezdedio je sebi redovne kolicine spam poruka u narednom periodu. :)
[ valjan @ 15.10.2014. 08:16 ] @
Ili slične mailove ali sa drugih domena...
[ Mitkoni @ 15.10.2014. 13:04 ] @
Citat:
valjan:
Pa čemu onda cela ova tema? Ja takvih mailova dobijam na tone, ali mi je mail klijent podešen tako da vidim sva zaglavlja, jer From polje se veoma lako lažira, ali neka polja u zaglavlju prilično teško, tako da odmah vidim da li se radi o phishingu ili ne. Uostalom, sama adresa odakle je stiglo je već trebala da potvrdi sumnju: account@amazon.com. I nije nikakav problem da se kreira email ili stranica da izgledaju kao pravi, kad mogu da postoje toliki lažni satovi, farmerke, tašne, patike, trenerke, itd. naravno da nije nikakav problem da se iskopira malo HTML i CSS koda pa da sve izgleda uverljivo. Naravno da ne postoji nikakav order, kao što ni Google ne deli 50.000$ (i ne znam koja je još šema aktuelna ovih dana), a svrha svega je da te prevare da ti klikneš na link, pokušaš da se uloguješ na lažnoj stranici, i samim tim ostaviš svoj user i pass koji će oni kasnije da zloupotrebe. Očigledno nisi naseo na njihovu provokaciju, a ubuduće je dovoljno da klikneš na onu strelicu pored "to me" u zaglavlju poruke, ispod email adrese pošiljaoca, pa da vidiš celo zaglavlje, i sigurno u ovom tvom slučaju u Reply-To i u mailed-by poljima ne stoji amazon.com nego nešto drugo, što je jasan znak da se radi o prevari. Ako želiš da ubuduće budeš još malo sigurniji, u podešavanjima Gmail-a imaš Labs jezičak gde možeš uključiti opciju "Authentication icon for verified senders" a ovde možeš pročitati šta ona radi: https://support.google.com/mail/answer/3070163.

A što se zapeta tiče, naravno da su bitne, uzmi samo kao primer čuvenu rečenicu "lets eat grandma", smisao se menja drastično bez zapeta ;-)



Naravno da sam bio obratio paznju na tom delu "to me" to me je ponajvise i zbunilo, da sam video kojekakve hijeroglife od adrese ne bih imao povoda da otvaram ovu temu. Ali posto je onako izgledalo uverljivo a onda sam video gde sve ti linkovi vode vec mi je postalo sumnjivo. No naravano da nisam naseo. Mogu zamisliti koliko ce nasesti onih sto klikaju neki baner gde kaze 'uzmi besplatno' :)

Neko rece da ne izgleda email originalan, po meni izgleda i te kako, malo nepaznje i 'tamo si' ;)