Uwaga na oszustwo niemal perfekcyjnie podszywające się pod mBank

Zobaczcie na adres z miniaturki – wygląda całkiem podobnie do online.mbank.pl. Tylko litera 'a’, nie jest do końca jest literą a (widzicie tę małą kropkę pod nią?). Przetestujcie czy Wasza przeglądarka chroni Was przed tym atakiem:

sekurak z dodany: 29.11.2021, 17:17:48

139
Odpowiedz

Komentarze (139)

najlepsze

Monochromatyczmy_chyba

29.11.2021, 19:50:56

Kiedyś zarejestrowałem domenę getnibank.pl. Po to żeby zbadać ile ruchu będzie wpadać. Miesięcznie nawet 700 unikalnych użytkowników wchodziło na pustą stronę przez literówkę.

Juz dawno banki powinny jako główny dostęp do bankowowści autoryzować apki mobilne a nie webowe.

enron

29.11.2021, 20:43:44 via iOS

Kiedyś zarejestrowałem domenę getnibank.pl. Po to żeby zbadać ile ruchu będzie wpadać. Miesięcznie nawet 700 unikalnych użytkowników wchodziło na pustą stronę przez literówkę.

@Monochromatyczmy_chyba: kiedyś znajomy chciał, żebym u siebie zamieścił jakąś stronkę konkursową dla jego klienta. Miała być z SSLem dostarczonym przez niego. No i okazało się, że klient to jeden z większych banków w Polsce (nazwijmy go Ziuta) a stronka nie nazywała się np. "konkurs.ziuta.pl" tylko po prostu

cocamide

29.11.2021, 23:38:43

Zobaczcie na adres z miniaturki – wygląda całkiem podobnie do online.mbank.pl. Tylko litera 'a’, nie jest do końca jest literą a (widzicie tę małą kropkę pod nią?).

raczej nie tylko litera "a" z dupką pod spodem ale i sama domena bo nie jest to online.mbank.pl tylko online.mbank.com

grzysztof

29.11.2021, 20:30:21 via Wykop Mobilny (Android)

Dajcie link bo nie wiem jak wpisać ta literke na andku

K.....a

konto usunięte 29.11.2021, 19:49:38

Ma ktoś tą domenę? Jak ją mam przetestować jeśli jej nie podali nigdzie :(

enron

29.11.2021, 19:25:16 via iOS

Kiedyś były certyfikaty EV, pojawiał się zielony pasek adresu z podaną formalną nazwą podmiotu. No ale przeszkadzało, zieleń znikła i EV nie kupuje już prawie nikt - bo jedyne co daje, to informację o podmiocie gdy klient się dogrzebie do szczegółowych informacji o certyfikacie ¯_(ツ)_/¯

A co do przekrętu, to numer z domenami IDN jest tak stary jak same domeny IDN. Np. wykorzystywano, że ruskie "ia" wygląda tak samo jak "a", zresztą

w.....i

konto usunięte 29.11.2021, 19:49:55

@enron: Zieleń zniknęła, bo dawała mylne przeświadczenie o bezpieczeństwie.

Co niby stało na przeszkodzie w zarejestrowaniu na słupa na Łotwie, Słowacji czy we Francji, Hiszpanii, Portugalii, Luksemburgu "mBank Internet SA" i uzyskaniu dla domeny jak w znalezisku certyfikatu EV? :)

G.....k

konto usunięte 29.11.2021, 19:58:53

@winstonyczerwonesetki: to, że trzeba było zarejestrować słupa i przesłać dokumenty, a to kosztuje i podnosi koszt scamu (let's encrypt = $0).. a tak, byle dziecko może wygenerować cert i się bawić w podmiany.. ( ͡° ͜ʖ ͡°)

Ja na swoim kompie mam let's encrypt domyślnie jako nie zaufany.. od razu 90% dostawców reklam przestaje działać ( ͡° ͜ʖ ͡°)

t.....1

konto usunięte 30.11.2021, 16:38:04

Let's Encrypt wydał certyfikat. Nie mają oni żadnej weryfikacji?

HeniekZPodLasu

30.11.2021, 09:47:58

Kurde dobre. Dał bym się wydymać wklepując i klikając z googli, w życiu bym tej kropeczki nie zauważył. - Gdybym miał taką potrzebe, bo w przeglądarce do tego celu mam zakładkę.
W sumie gdyby się ktoś do tych zakładek dobrał, to mógł by mieć niezłe żniwa.

Toreo

30.11.2021, 09:39:34

Ja bym 3 rzeczy wprowadził dla s-------i-oszustów którzy tym się trudnią;
-publikacja twarzy jeśli zostanie skazany, coś na wzór rejestrów p-------w, gwałcili.
-15 lat więzienia minimum, wraz oczywiście ze ściągnięciem majątku z przepisaniem na kogokolwiek itp, nawet oddawałbym jakiś % ludziom którzy zawodowo by się tym zajmowali.
-praca na swój na koszt w więzieniu ewentualnie spłata po wyjściu czyli już raczej do normalnego życia nie wróci ale skoro szczur nie ma żadnej