Brukte bank for å hacke bank

Brukte bank for å hacke bank

Det frekkeste phishing-opplegget til nå? En kinesisk storbank ble brukt som base for å rappe personopplysninger fra Ebay og storbanken Chase.

Det er det britiske internettjeneste-firmaet Netcraft som rapporterer om dette helt spesielle tilfellet av nettfiske. Ifølge Netcraft er dette trolig første gang noen utnytter én banks infrastruktur for å hacke en annen bank.

Det var en bruker av Netcrafts gratisverktøy for å overvåke nettfiske (phishing) fattet mistanke da han mottok en pussig epostmelding.

Eposten rutet til adresser for phishing-nettsteder lurt inn i i skjulte kataloger på en server, der ip-adressene viste til en Shanghai-filial tilhørende banken China Construction Bank. Denne statseide kinesiske banken har over 14.000 filialer.

Et av disse falske nettstedene tilbød kunder av Chase Bank, som eies av JPMorgan Chase & Co., å motta 20 dollar for å fylle ut et skjema. Skjemaet skulle fylles ut med bruker-ID og passord for at pengene kunne settes inn på kontoen.

Det ble også spurt etter bankkortnummer, PIN-kode, en kode for å godkjenne kortet, mors pikenavn (sic!) og kundens amerikanske personnummer, opplyser Netcraft.

Snylter båndbredde

Dataene som ble samlet inn, ble deretter angivelig sendt til en server i India som prosesserte skjemaer.

Nettstedet hentet ned bilder og malark fra nettsidene til Chase Bank, med en metode Netcraft kaller "hot-linking" eller båndbredde-snylting". Men metoden etterlater et spor, ettersom serveren som bildene hentes, førte en logg over ip-adressene til de datamaskinene som hadde forespurt bildene, ifølge Netcraft.

Nokså suspekt

Det var nok av ting som burde vekket mistanke. Og det ser ikke ut til å være noen fordel for nettfiskerne at de brukte en bank som vert for den falske siden.

Blant annet vil ikke brukernes nettleseren oppfatte nettsidene som sikre. Nettadressen ser ut som en helt vanlig ip-adresse, i stedet for en side tilhørende Chase Banks domene. Slike ting fanges opp av alminnelig gode verkttøy.

Også Ebay

Også en falsk Ebay-side er registrert med en innloggingsside som har ip-adressen registert på den kinesiske banken. Den falske Ebay-siden hadde attpåtil Verisign-merket, som vil mange vil oppfatte som en garanti for at de befinner seg på en trygg side.

China Construction Bank er muligengs ikke klar over at noen har utnyttet en brist i sikkerheten på deres server, forklarer Netcraft til IDG News.

Det er også mulig at serveren er smittet med en orm som åpner for uautorisert adgang, mener Netcraft, som ikke utelukker at det kan dreie seg om en utro tjener.

- Enhver som har tilgang til bankens server, med eller uten tillatelse, kan ha gjort det, sier Paul Mutton i Netcraft.