Приветствую, уважаемые гуру.
Из-за своей беспечности подцепил вредоноса и чуть не лишился всех денег со счёта, введя логин-пароль на фейковом сайте.
Произошло это так: как обычно выбираю из истории https://ibank.svyaznoybank.ru/lite/app/priv/accounts
Вижу привычный интерфейс ввода логина-пароля. SMS долго шла, пришла через 2 минуты. Ввёл код.
На сайте вылезло ещё одно окошко для ввода кода, точно такое же, как и при логине, но с другим текстом что-то типа "Это тестовое SMS нужно для перехода на новый банк, никаких операций выполняться не будет". И тут же следом пришла ещё SMS-ка. Хорошо, хватило ума не вводить туда код, сначала прочитать сообщение. А там - перевод средств! Следом через минуту ещё одна SMS об отключении SMS информирования. Тут уж я уверился, что это не глюк, а действия мошенников. Я тут же полез в фактуру, сменил пароль. Смотрю, а там "Последний раз вы входили в систему 20.05.2013 10:24 IP 62.109.6.2" Это точно не мой IP!
В общем, каким-то образом злоумышленники повесили редирект с iqbank.ru и svyaznoybank.ru на левый сайт svyazv.net
Редирект выглядит следующим образом:
Работает это на протрояненном компе, от браузера не зависит. У меня Firefox 16.0.2 Вместо основного сайта открывается редирект, который браузер послушно и молча выполняет, открывается фишинговый сайт, пользователь вводит логин-пароль, они попадают злоумышленнику, а он их вводит на настоящем сайте (вот почему так долго шла SMS).
Вот, как это выглядит в браузере:
IQbank:
Сертификат:
svyaznoybank.ru:
Как видите, в последнем случае даже https присутствует.
Обидно, что после скана утилиты не видно ничего подозрительного, хотя зловред присутствует и подменяет url во всех браузерах системы.
Вот логи скана: http://zalil.ru/34518111 http://zalil.ru/34518123
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ESonya, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прокси я первым делом проверил, дело не в нём, он везде отключен:
Файл hosts тоже чистый, DNS прописаны только провайдерские и IP адрес www.svyaznoybank.ru определяется верный 178.248.239.8, но при этом открывается фишинговый сайт.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: