西西河

主题:【原创】【注意】针对网上银行的网络欺诈实例之一 -- 梦里依稀

共:💬11 🌺1
全看分页树展 · 主题
家园 【原创】【注意】针对网上银行的网络欺诈实例之一

其实这是一个非常简单的欺诈,但是没有防范之心的人很容易上当,

这里贴出来,提醒各位注意。

今天打开电子邮件,收到一个伪称来自CitiBank的邮件,说我要求的

某个Transaction正在进行,我可以登陆进取,Change or Cancel

这个 Transaction.

我的 Citibank银行的操作,从信用卡支付到转账,多数都是网上

完成的,而我确实前两天请求了一个转账操作。点击那个连接进去,

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=Direct_Signon

是同真实的 Citibank (地址如下)一模一样的登陆界面,

https://web.da-us.citibank.com/cgi-bin/citifi/scripts/home/visitor_homepage.jsp

这个界面做得挺像的,不只是第一层,点击好几层进取,都完美地拷贝

了真实的Citibank的界面.

Citibank为了安全性的考虑,只是在第一次登陆的时候要求你使用ATM卡

号和密码登陆,登陆进去以后,你可以创建专门用于online操作的用户

名和密码,这样用户不必每次登陆都输入ATM卡号和密码,减少了卡号和

密码被窃的机会.

这个伪装的Citibank给你的界面则是使用ATM卡号和密码登陆的那个界

面. 当我试图转到那个使用用户名登陆的界面时,他狡猾地声称使用用

户名和密码登陆的部分正在维护,请使用ATM卡号和密码登陆:

The ID/Password Login Server is currently under maintanance.

Please, Sign On to your account with your Card Number!

这说明这个欺诈者更感兴趣的是你的ATM卡号和密码.

如果你真的去登陆,那可就惨拉,你的密码就被欺诈者知道啦,他可以使用你的

网上银行账号进行一切允许的操作,在得到你的ATM卡号之后,可以很容

易地伪造ATM卡,提取你账号里面的现金.

其实要分辨真假,先仔细看了一下那个两个地址:

伪造的

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=Direct_Signon

真实的

https://web.da-us.citibank.com/cgi-bin/citifi/scripts/home/visitor_homepage.jsp

重要的是我分别用颜色表明的部分,citibank.com是真实的Citibank的

网址,而cgi-eng.us则不是,加上前面的 citibank.com.cgi-eng.us的

目的, 完全是用来欺骗你的眼睛, 从他的主页

http://www.citibank.com.cgi-eng.us/ 进去,居然看到是他的文件目

录, 这在真实的citibank是绝不会发生的.

如果你不会分辨真假地址,最简单地防范一切这类欺诈行为的方式,是

不要从任何人给你的电子邮件中的连接中进行重要的登陆.

除了看网络地址进行分辨之外,一个辅助的办法就是可以看发信人真实

的邮件地址,Outlook中的邮件显示的是发信人的姓名,以前遇到的一些

欺诈邮件,虽然发信人的姓名使用的是具有欺骗性的名字,比如说

Citibank,但点击发信人姓名进去看到的[email protected],或者

[email protected], 这属于比较容易分辨的,但是这次进取看到的邮件地

址,却是 [email protected], 是真实的citibank的域名.

他是怎么做到这一点的呢? 一是他是citibank.com的邮件服务器的合法

用户, 这种可能性很小, 因为很容易查到, 另一个是他盗窃别人的邮箱,

这种可能性也很小.

用nslookup查了一下 citibank.com 的邮件服务器, 发现一共有

八个IP地址是 citibank.com 的邮件服务器, 结果如下:

citibank.com MX preference = 10, mail exchanger = mail3.citigroup.com

citibank.com MX preference = 10, mail exchanger = mail4.ssmb.com

citibank.com MX preference = 10, mail exchanger = mail4.citigroup.com

citibank.com MX preference = 50, mail exchanger = mail1.citigroup.com

citibank.com MX preference = 100, mail exchanger = mail0.citigroup.com

citibank.com MX preference = 10, mail exchanger = mail2.ssmb.com

citibank.com MX preference = 10, mail exchanger = mail2.citigroup.com

citibank.com MX preference = 10, mail exchanger = mail3.ssmb.com

mail3.citigroup.com internet address = 199.67.141.129

mail4.ssmb.com internet address = 199.67.139.129

mail4.citigroup.com internet address = 199.67.139.129

mail1.citigroup.com internet address = 199.67.139.25

mail0.citigroup.com internet address = 192.193.226.97

mail2.ssmb.com internet address = 192.193.226.98

mail2.citigroup.com internet address = 192.193.226.98

mail3.ssmb.com internet address = 199.67.141.129

而从发给我的这个邮件的邮件头看, 我的hotmail邮箱的邮件服务器是在

同193.68.219.42 (这个地址来自 欧洲的 Bulgaria ) 这个IP的交换中

得到这封邮件的, 而这 IP个地址并非上述合法的 citibank.com 的邮件服务器中的任何一个!

所以我的估计是, 伪造者自己设立了一个邮件服务器,自称是

citibank.com 的邮件服务器, 他通过这个假的邮件服务器成功地发送了

邮件. 但是他不可能收到任何发送给 citibank.com 的用户的邮件.

因为域名解释系统不会把这个 citibank.com 的地址指向到他伪造服务器的IP地址, 而应该指向上述八个合法地址中的某一个. 可是, 他的目的并不是想要受到你的回信, 而是要你去他指示的页面登陆.

Citibank 有一个专门处理这类欺诈的部门, 我将这个邮件报告给他们,

也将详细信息贴在这里,提醒各位注意, 千万不要上当!

带邮件头的邮件全文如下(我去掉了本人用户名的部分):

-------------------------

发件人 : Citibank <[email protected]>

答复地址 : <[email protected]>

发送 : 2004年7月25日 16:32:48

收件人 :

主题 : Your request for Express Transfer - attn: [email protected]

MIME-Version: 1.0

Received: from lamer4e ([193.68.219.42]) by mc1-f42.hotmail.com with Microsoft SMTPSVC(5.0.2195.6713); Sun, 25 Jul 2004 08:30:53 -0700

X-Message-Info: 6sSXyD95QpXovcczdwV6PDI+9krRuMzy

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2800.1081

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081

Return-Path: [email protected]

Message-ID: <xxxxxx.hotmail.com]>

X-OriginalArrivalTime: 25 Jul 2004 15:30:54.0859 (UTC) FILETIME=[60219DB0:01C4725C]

--------------------------------------------------------------------------------

查看电子邮件的源文件

Content-Type: text/plain; charset="Windows-1251"

Content-Transfer-Encoding: 7bit

Your request for Express Transfer from your Citi account to your bank account

ending in 6297, has been received and is in process.

This process usually takes 6-8 working hours to complete but is dependent on

your account preferences.

See, Change or Cancel this Transfer at:

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=Direct_Signon

If there is a problem with your request, it may take up to one week for your

bank to notify us. We will notify you immediately by email if we learn of any

problems in processing your request.

Yours sincerely,

The Citibank Team

----------------------------------------------------------------

Please do not reply to this email. Anything you send to this address cannot be

answered. For assistance, log in to your Citi account at:

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=help

and select the "Help" link in the header of any page.

Citibank E-mail & Wireless Banking Alerts - Email ID Ci072632US2NG


本帖一共被 1 帖 引用 (帖内工具实现)
全看分页树展 · 主题


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河