Upozorenje: Klijenti banaka u Srbiji na meti phishinga!

U ovom tekstu, koji stalno ažuriramo, videćete prave primere phishing poruka koje ciljaju klijente banaka u Srbiji!

Upozorenje: Klijenti banaka u Srbiji na meti phishinga!

Phishing poruke kojima se ciljaju klijenti banaka nisu novost i neće skorije prestati. Ni phishing poruke na srpskom više nisu retkost. Gotovo svakog meseca otkrijemo novu phishing prevaru kojom se ciljaju klijenti banaka koje posluju u Srbiji.

U ovom tekstu, koji stalno ažuriramo, videćete prave primere phishing poruka koje su napadači slali klijentima banaka u Srbiji. Preporučujemo da uvek dobro obratite pažnju kada otvarate poruke koje stižu od banaka, jer su phishing poruke ove vrste često vrlo uverljive.

Idite do kraja stranice da vidite najnovije pretnje.

Ukoliko primite sumnjiv email od banke proverite na ovoj stranici da li smo pisali o takvoj phishing prevari ili nam ga prosledite na analiza@it-klinika.rs da bismo ga analizirali i upozorili i druge ukoliko se radi o novoj pretnji.

Banca Intesa phishing - 15.06.2020.

Korisnici banaka u Srbiji, pre svega klijenti Banca Intesa i AIK banke, (još jednom) su se našli na meti phishera.

Poruke sa malicioznim prilogom navodno stižu sa Banca Intesa domena. Prilog ima naziv „Obavestenje o prilivu za 005080·002032·005·pdf.zip“, a poruka ima subject: „Obaveštenje_o_deviznom_prilivu:__EUR_3721.33.“ Poruke se šalju sa servera 185.58.73.19 (nikal.avalon.hr).

Intesa phishing

Slika 1. Banca Intesa phishing email poruka.

Na Virus Total sajtu nekoliko AV rešenja ga prepoznaje kao virus, što se može videti na ovom linku i na slici ispod.

Slika 2. Virus Total, Intesa phishing.

AIK banka phishing

AIK banka phishing poruke stižu sa istog domena kao i Banca Intesa poruke (nikal.avalon.hr), ali i sa server10.konekthosting.info (62.240.6.5). Sender: aik_banka_devizni_sektor@aikbanka.rs

Budite oprezni i nikako ne otvarajte ove poruke!

O sličnoj prevari pisali smo krajem prošle godine, više informacija imate na ovom linku.

Preporuke

Nakon analize, otkrili smo da je u pitanju LokiBot, isti malver kao i kod prethodne slične kampanje. Preporučujemo blokiranje IP adrese 198[.]23[.]200[.]239, koja je trenutno C&C.

Update 1 - Sberbank phishing - 28.05.2020.

Posle lažnih izvoda Banca Intesa i AIK banke, primećena je i kampanja koja cilja Sberbank korisnike. U pitanju je phishing poruka sa (lažnim) mesečnim izvodom sa kreditne kartice u prilogu. Poruka navodno stiže sa adrese izvodi@mail.sberbank.rs, dok je prava adresa zillennium[.]com.

Sberbank phishing

Slika 3. Sberbank phishing poruka.

Update 2 - Erste banka phishing - 15.06.2020.

Nastavljaju se napadi na korisnike iz Srbije. Najnovije phishing poruke koje kruže u naslovu imaju Subject "Obaveštenje o deviznom prilivu 163977". Napadači žele da pomislite da poruke stižu sa adrese devizniprilivi@erstebank.rs.

Erste phishing

Slika 4. Erste banka phishing poruka.

Erste banka je objavila preporuke kako da prepoznate ove i slične prevare, a možete ih pronaći na ovom linku.

Update 3 - UniCredit banka phishing - 22.06.2020.

Phishing kampanja u kojoj se ciljaju korisnici banaka u Srbiji i dalje traje. Sada su na meti korisnici UniCredit banke, a poruke koje napadači šalju imaju Subject "Obavestenje u prilivu iz inostranstva". Poruke sadrže obaveštenje na srpskom i engleskom jeziku, kao što možete videti na slici ispod:

UniCredit phishing

Slika 5. UniCredit phishing poruka.

Još jednom upozoravamo sve koji dobiju ovakve ili slične email poruke da budu obazrivi i ne otvaraju priloge.

Update 4 - OTP banka phishing - 02.07.2020.

Najnovija banka koju napadači zloupotrebljavaju u ovoj kampanji je OTP banka. Na slikama ispod možete videti izgled OTP phishing poruke i analizu sa VirusTotal sajta.

OTP phishing

Slika 6. OTP banka phishing poruka.

VT analiza

Slika 7. Virus Total analiza, OTP banka phishing.

Update 5 - API banka phishing - 03.07.2020.

Napadači se ne zaustavljaju! Sada je na redu zloupotreba API banke. Phishing poruke navodno stižu od osobe zaposlene u banci, a stvarna adresa pošiljaoca je stella.raybear.com (213.239.211.25). Subject imejla je "Obaveštenje o prilivu iz inostranstva", dok je u prilogu zip fajl koji sadrži malver. Na slikama ispod možete videti kako izgleda API bank phishing poruka:

API 1

Slika 8. API bank phishing poruka.

API phishing 2

Slika 9. API bank phishing poruka.

Upozoravamo klijente API banke, ali i sve druge koji prime sličnu poruku: Budite veoma oprezni i nikako ne otvarajte priloge!

Update 6 - Banca Intesa phishing - 19.10.2020.

Nova phishing kampanja koja cilja klijente Banca Intese, stiže sa naslovom "Obaveštenje o deviznom prilivu: EUR 6913.20". Prilog poruke sadrži virus. Iako izgleda da poruka stiže sa adrese "mail@bancaintesa.rs", domen sa kog je poruka poslata je bengiamein.cf (IP 5.8.93.216)

Phishing poruka izgleda prilično uverljivo:

Banca Intesa Srbija phishing

Slika 10. Banca Intesa phishing poruka.

Update 7 - Banca Intesa phishing - 4.11.2020.

Primetili smo još jednu phishing kampanju kojoj su meta klijenti Banca Intese. Naslov poruke je "Савет за унутрашње плаћање 4-11-20 (MT103)".

Poruka je poslata sa IP adrese 209.59.144.169 i sadrži malver u prilogu. Naziv priloga je 4-11-20 banca_intesa_pdf(.)exe

Izgleda kao da je pošiljalac no-reply(@)bancaintesa.rs, a poruka zapravo stiže sa adrese akash.chaudhary(@)jagdambasteels.com.

Update 8 - Banca Intesa phishing - 05.02.2021.

Email sa naslovom "Obaveštenje o deviznom prilivu: EUR 3721.33" krije malver u prilogu.

Poruka izgleda kao da stiže sa adrese mail@bancaintesa.rs, a logovi pokazuju da stiže sa ove dve IP adrese: 89.201.174.72 i 85.17.187.29.

Prema VirusTotal analizi, 27 od 70 AV vendora prepoznaje ovaj malver.

Virus total analiza

Mi smo ga detektovali pomoću Cynic Sandboxa, odnosno Symantec Advanced Threat Protection Platforme.

Cynic

API banka phishing - 22. mart 2021.

U toku je phishing kampanja koja zloupotrebljava email adrese zaposlenih u API Banci.

Poruke sa malicioznim prilogom navodno stižu sa email adrese Sretenke Vučetić. U naslovu poruke piše „Obavestenje o prilivu iz inostranstva“, a u prilogu poruke je maliciozni fajl. Ne otvarajte prilog email-a!

API bank phishing

Gotovo ista kampanja bila je aktuelna pre 9 meseci, kada je API banka saopštila da njeni sistemi nisu kompromitovani i da se poruke ne šalju sa njenih servera.

Zajedno podižemo svest o sajber bezbednosti

Ako ste u poslednje vreme primili email koji vam je sumnjiv, prosledite nam ga na analiza@it-klinika.rs, da bismo i druge upozorili