Ära mine õnge – petukirjad õngitsevad Zone e-posti kasutajatunnuseid

Täna on hakanud levima õngitsemis-kirjad, mille “postkasti suurendamise” link viib Zone veebimeili sisselogimise lehega sarnasele lehele – sinna kasutajatunnuse ja parooli sisestamise järel lähevad need mõistagi joonelt kurikaelte kasutusse.

Käitumisjuhised nagu ikka:

  • ära logi mistahes teenusesse sisse e-postile tulnud lingi kaudu – turvalisem on teadaolev aadress ise brauserisse tippida, nt www.zone.ee või webmail.zone.ee
  • ära kliki kahtlastes kirjades olevatel linkidel ja ära ava saadetud faile, kui pole saatjas 100% kindel – arvuti nakatamiseks piisab ka “korraks vaatamisest”
  • kui sulle tundub, et oled oma kasutajatunnused kahtlasse kohta sisestanud – siis muuda koheselt parool; kõhkluse korral võid alati võtta ühendust ka meie klienditoega info@zone.ee.

Kiri ise näeb välja näiteks selline:

Dear Valued Subscribers

The size limit of 20 MB for your mailbox has been exceeded. Incoming mail is currently being rejected. You are required to upgrade your mailbox size to 2GB within 24 hours or your account will be suspended.

Upgrade Mailbox

Note that mailbox upgrade is free.

Sincerely yours,
Customer Service

Klikkides kirjas oleval lingil satud lehele, mis on 1:1 kopeeritud meie veebimeili esilehelt – aga nagu näha, on samas serveris ka teiste teenusepakkujate lehtede koopiad:

Sisestades lehele kasutajatunnused suunatakse sind edasi päris-Zone lehele, aga mõistagi ilma mingi sisselogimiseta.

Täiendatud: “tehnikahuvilistele noortele” on vahest hea teada, et õngitsemislehed on laetud üles ühte Magento veebipoodi, milles on kasutusel toote-info importimise laiendus nimega Magmi – paraku võimaldavad selle vanemad versioonid pluginatena üles laadida mistahes koodi (CVE-2014-8770), probleem on kõrvaldatud versioonis 0.7.20 (2014.a oktoobris).

Huvitava seigana võib esile tuua aga seda, et õngitsejate poolt üle võetud veebipood asub Austraalias ehk ajatsoonis, kus probleemi avastamise ajal on sügav talve-öö.

Mida selle teadmisega pihta hakata?

  • kui sul on veebileht, siis vastutad ka selle uuendamise ja turvamise eest – sageli on mõistlik selleks sõlmida veebilehe tegijaga pikemaajaline hooldusleping ning jälgida selle täitmist
  • kui oled veebilehe tegija, siis anna oma töö kliendile üle piinlikult puhtaks tehtuna – ei ühtki üleliigset pluginat, ajutist test-versiooni või vana veebi juppe vedelemas; ligipääsu-õigused minimaalsele tööd võimaldavale tasemele, paroolid tugevaks

Näksitud andmebaas – ei, näksimata andmebaas

Täna EEnet’i nimel saadetud parooli-õngitsus-kirja eest võiks tõlkeroboti sooritusele maksimaalsed stiilipunktid anda – loodetavasti läheb “näksima meie andmebaasis” samamoodi küberfolkloori kogudesse nagu ammune “Ligupidamisega“.

Zone postiserveritesse jõudis selliseid enne saatja blokeerimist üle 4500, aga kaevates logides on veidi erineva sõnastuse ja saatjaga kirju tulnud massiliselt ka varasematel päevadel, reedel näiteks 10000.

Saatja: Admin [ad@eenet.ee] Saadetud: 2. märts 2016. a. 9:05
Adressaat: Me
Teema: Sinu konto suletakse lähema 24 tundi !

Seal on näksima meie andmebaasis, mis pani meid blokeerida sissetulevad kirjad ja sa pead kehtivaks tegema oma konto klikkides siia, et vältida oma webmail alates lõplikult blokeeritud.

Märge: Suutmatus kinnitada oma kontole, konto suletakse lähema 24 tundi.

©2016 Konto hooldus- meeskonnaga.
Kohtuasja arv: GK09TKV

Kuna sellistes kirjades olevatel linkidel klikkimine on riskantne isegi juhul, kui puudub plaan sinna paroole sisestada, siis olgu lisatud ka turvaliselt virtuaalmasina-liivakastist tehtud pilt seekordsest vormist (täitmise korral saadetakse andmed ühele gmail.com aadressile):

naksitud-andmebaas-ei-naksimata-andmebaas

Ega’s muud, kui kõigile lähikondsetele veelkord üle korrata:

  • paroole tasub sisestada ainult saitidele, kuhu oled omal tahtel aadressi tippides (või lemmikute hulgast valides) läinud
  • igal pool kus vähegi võimalik – kasuta sisselogimiseks parooli asemel turvalisemat lahendust, näiteks Google Authenticator telefoni-äpp (GMaili puhul saad seadistada siit), SMS-iga saadetav kinnituskood või Eesti tingimustes mobiil-ID (vt: kuidas siduda minuZone konto ligipääs mobiil-ID-ga)