tiistai 16. lokakuuta 2018

Pankkien tietoturvapäivitykset ovat ansoja

Minulle sapui Nordean tietoturvapäivitys pyyntö joka ei oikeasti ole tullut Nordeasta, vaikka sähköpostiosoite siltä näyttää. Tuo turvapäivitys-linkki veisi kuuluisalle huijjareiden suosimalle "tietovarkaussivulle jotformeu.com" eli ei missään tapauksessa Nordeaan.
Mitään tietoja ei näihin "turvapäivityskyselyihin" tule antaa.
Tämä kirje on tunnistettavissa  huijjaukseksi jo kehnosta käännöksestä mutta usein huijjauskirje saattaa vaikuttaa myös aivan asialliselta.

Pankkeja ei nämä huijjausyritykset tunnu isommin kiinnostavan.
Pankkien etusivuilla tai piiloitetummissakin paikoissa saattaa olla
varoitus huijjauskirjeistä mutta muuten pankit ovat erittäin passisiivisia,
ilmiantamaan näitä huijjareita. Sain Jotformin kanssa kirjeenvaihdolla
poistettua tämän ID varkaan heidän sivustoiltaan. Ei se iso vaiva ollut.
https://vaarallinenweb.blogspot.com/2018/11/pankkien-paivitykset-ovat-ansoja.html

Alla kirjeen lähdekoodi. Kommenttini suluissa.

---------------------e-mailin lähdekoodi--------------------------

Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
Received: from fe21.mail.saunalahti.fi (fe21.mail.saunalahti.fi [62.142.5.26])
 by be408.mail.saunalahti.fi (Postfix) with ESMTP id 8D2046038B;
 Tue, 16 Oct 2018 13:23:41 +0300 (EEST)
X-Client-Addr: 162.219.251.219 (alussa spämmisuodattimen hakkerointia)
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
X-Client-Addr: 162.219.251.219
Received: from mets.unisonplatform.com (mail219.mets.unisonplatform.com [162.219.251.219])
(rekisteröity palvelimelle USA:ssa Kirklandin kaupungissa oleva palveln. Muut reksiteritiedot 
on salattu) 

(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (No client certificate requested)
 by fe21.mail.saunalahti.fi (Postfix) with ESMTPS id C236A20004;
 Tue, 16 Oct 2018 13:23:40 +0300 (EEST)
Received: from [::1] (port=54362 helo=mets.unisonplatform.com)
 by mets.unisonplatform.com with esmtpa (Exim 4.89_1)
 (envelope-from <asiakaspalvelu@nordea.fi>)  (tämä nordean osoite on 
saatu aikaiseksi seuraavalla metodilla: Kun viesti palautetaan, palautusvastaus 
lähetetään yleensä kirjekuoressa (evelope) lähettäjälle. 
Roskaposti-sivustot ovat oppineet tämän sähköpostin 
ominaisuuden ja voivat käyttää sitä saadakseen virhellisen lähettäjänimen 
kirjeeseensä)

 id 1gCItR-0006vs-OV; Mon, 15 Oct 2018 23:31:49 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="=_3782c37711968b63c65629452622c297"
Date: Tue, 16 Oct 2018 00:31:49 -0600
From: Nordian Verkkopankkia <asiakaspalvelu@nordea.fi> 
(tästä "lähettäjäväärennöksestä" on edellä selostus)

To: undisclosed-recipients:;
Subject: =?UTF-8?Q?--__Hyv=C3=A4_asiakaamme=2C?=
Message-ID: <f6e3e52dac878d00e032e8354c319f0b@nordea.fi>
X-Sender: asiakaspalvelu@nordea.fi (tästä "lähettäjäväärennöksestä"
 on edellä selostus)

User-Agent: Roundcube Webmail/1.3.3
X-AntiAbuse: This header was added to track abuse, please include it 
with any abuse report
X-AntiAbuse: Primary Hostname - mets.unisonplatform.com
X-AntiAbuse: Original Domain - elisanet.fi
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - nordea.fi (selitetty alussa mistä tämä periytyy)
X-Get-Message-Sender-Via: mets.unisonplatform.com: authenticated_id: 
nor@dawnprince.com (Rekisteröity Illinois, USA. Tarkemmat reksiteritiedot salattu)
X-Authenticated-Sender: mets.unisonplatform.com: nor@dawnprince.com

--=_3782c37711968b63c65629452622c297
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8

-- 
 
------------------KIRJEEN SISÄLTÖ------------------------- 
 
Hyvä asiakaamme,
Verkkopankissa tietoturvapäivitysten vuoksi verkkopalvelujen käyttäjien
on hyväksyttävä päivitys ja päivittää yhteystiedot ajantasalle. 
 Päivitä tietosi ja tee tietoturvapäivitys tästä  (linkki poistettu vaarallisena) 
Prosessi järjestelmän ja tietojen päivittämiseksi on tehty
mahdollisimman helpoksi ja sujuvaksi. 
Käsittelemme rekistereissämme kaikkien asiakkaidemme tietoja samojen käsittely- ja tietoturvaperiaatteiden mukaisesti. 
Kaikkien asiakkaidemme tiedot ovat esimerkiksi pankkisalaisuuden,
vakuutussalaisuuden tai vastaavan salassapitovelvoitteen alaisia tietoja riippumatta siitä, onko kyse henkilö- vai yritysasiakkaasta.
Tietojen luovuttaminen on mahdollista vain asiakkaan antaman suostumuksen tai lain perusteella. 
Ilman päivitystä pankkipalveluita voidaan joutua rajoittamaan.
Rajoitukset perustuvat 01.01.2018 voimaan tulleeseen uuteen rahanpesulakiin. 
Rajoitukset koskevat maksukortteja ja verkkopankkia tai muuta tilin käyttöä.
Terveisin 
Asiakaspalvelu 
Nordian Verkkopankkia
  

Links:
------
[1] https://form.jotformeu.com/82881057654364
--=_3782c37711968b63c65629452622c297
(tämä linkki vie tietokalastuslomakkeelle jossa kysellään pankkitietosi tai 
"ikäänkuin" pyydetään kirjautumaan tilillesi. Kirjautumisen yhteydessä tunnuksesi 
kopioidaan rikolliseen käyttöön) 

Ei kommentteja:

Lähetä kommentti

Vaarallinen WEB