New phishing technic?

[Bibob3d]

У нас на работе один чувак поймал какую-то хрень. Когда выходит на Citibank, eBay, PayPal, Bank of America and so on и пытаеЦЦа залогиниЦЦа, у него спрашивают разнюю инфо типа кредитки, даты рождения, в общем сразу видно, что что-то левое. Фигня в том, что сверху показывает оригинальный сайт, и если кликнуть на ссылке в адресной строке и нажать Энтер, то пишет, что пароль неверный. Т.е. такое чувство, что перехват происходит между загрузками страниц. Происходит это только при использовании Internet Explorer. Кто-нить встречался с такой фигней?

[смешно]

круто. :34:

[Bibob3d]

Еще на компе в папке Temp были обнаружены такие файлы - rg4sfay & ydf8dk. Я поискал в Инете - пишут, что они появляюЦЦа с вирусом Vundo (Virtumondo), но Нортоновский FixVundo ничего не нашел

[ASDC]

Касперский + SpyBot вам в помощь :shlap:

Ещё бы хорошо список системных процессов сюда выложить .

[Olezhik]

У нас на работе один чувак поймал какую-то хрень. Когда выходит на Citibank, eBay, PayPal, Bank of America and so on и пытаеЦЦа залогиниЦЦа, у него спрашивают разнюю инфо типа кредитки, даты рождения, в общем сразу видно, что что-то левое. Фигня в том, что сверху показывает оригинальный сайт, и если кликнуть на ссылке в адресной строке и нажать Энтер, то пишет, что пароль неверный. Т.е. такое чувство, что перехват происходит между загрузками страниц. Происходит это только при использовании Internet Explorer. Кто-нить встречался с такой фигней?

Это было очень давно, ещё когда вход в интэрнет черес АОЛ стоил что-то где-то около 4$ в чяс. Делал и не такое...

Как же это работает? Всё очень просто.

Ставиш любой продукт на [EBAY]и добовляеш [CSS] в описания этого продукта что бы изменить внешни вид странитси (как в [myspace] можно зделать чтоб странитса твоя вигледила как хочиш) делаеш чтоб эта странитса на каторой продаёца твоя вешь выгледила как логин и висылала информацыю куда-то на левы сервер а потом возврашялась обратно с левого сервера на ЕБАЫ.

работает это примерно так

1) EBAY.COM/продук-катори-ты-продаёш-с-CSS-формои-для-кредитки.html
2) твоисервер.com/страница-каторя-соберает-переданую-инфо-с-EBAY-после-чего-посилает-обратно-на-EBAY.html
3) EBAY.COM/real-login-page.html или EBAY.COM/твои-воторои-продукт-WITH-ERROR-MSG.html

[Bibob3d]

Касперский + SpyBot вам в помощь :shlap:

Ещё бы хорошо список системных процессов сюда выложить .

Spybot didn't help (it actually got poisoned by that virus or whatever)
Hijack This by Trendmicro didn't find anything
F-Secure Blacklight didn't find anything
Malwarebytes' Anti-Malware didn't find anything
Norton is installed on all the computers in the office - didn't find anything


List of processes by Hijack This is attached

[Bibob3d]

Это было очень давно, ещё когда вход в интэрнет черес АОЛ стоил что-то где-то около 4$ в чяс. Делал и не такое...

Как же это работает? Всё очень просто.

Ставиш любой продукт на [EBAY]и добовляеш [CSS] в описания этого продукта что бы изменить внешни вид странитси (как в [myspace] можно зделать чтоб странитса твоя вигледила как хочиш) делаеш чтоб эта странитса на каторой продаёца твоя вешь выгледила как логин и висылала информацыю куда-то на левы сервер а потом возврашялась обратно с левого сервера на ЕБАЫ.

работает это примерно так

1) EBAY.COM/продук-катори-ты-продаёш-с-CSS-формои-для-кредитки.html
2) твоисервер.com/страница-каторя-соберает-переданую-инфо-с-EBAY-после-чего-посилает-обратно-на-EBAY.html
3) EBAY.COM/real-login-page.html или EBAY.COM/твои-воторои-продукт-WITH-ERROR-MSG.html

It's not just on eBay website. And in address bar it shows eBay's (Citibank's, etc.) address. And if you hit Enter on the link in address bar, it goes to the address. So it's like when you try to login, it inserts something, but shows an address of a legitimate page where you were supposed to get after you tried to login

[Радригес]

сносить....

[Olezhik]

It's not just on eBay website. And in address bar it shows eBay's (Citibank's, etc.) address. And if you hit Enter on the link in address bar, it goes to the address. So it's like when you try to login, it inserts something, but shows an address of a legitimate page where you were supposed to get after you tried to login

Есть ешо два варинат если надо ещё могу придумать ;).

1) с помошу [Java Script] вовремя загрузки странитси извеминть то что написано в аддресс бар ну не пересилать на другои аддресс.

2) Во время загрузки странитси симетировать нажатие кнопки [F11] а саму странису нарисовать в рамке [IE]

[Bibob3d]

сносить....

Снесем =) Но интересно же, что йето за гадость =)