rendorseg.net – egy adathalász oldal meglátogatása

RENDORSÉG : 4550 Ft-os késedelmes fizetése van, tekintse meg a HU827494731 szamu szabalysértési aktajat: https://rendorseg.net

A látogatás

A fenti sms-t kaptam, aminek a linkje nyilvánvalóan egy adathalász oldalra vezet, s mivel kíváncsi voltam, hogyan is néz ki egy ilyen oldal, meglátogattam. A számítógépemen kerestem fel, ahol a Chrome böngésző azonnal jelezte, hogy ez egy már ismert adathalász csaló oldal.

A figyelmeztetést két kattintással ki lehet kerülni, s így beléptem a webhelyre. Ott egy olyan csaló oldal fogadott, amely a police.hu, a magyar rendőrség hivatalos oldalának a mintájára épült fel azzal a megtévesztő szándékkal, hogy a felhasználó azt gondolja, hogy a rendőrség hivatalos – a bírságok befizetésére szolgáló – oldalán jár. A mintául szolgáló hivatalos oldal ez: https://ugyintezes.police.hu/web/guest/befizetes/, míg a megtévesztő oldal így nézett ki:

Az ‘iktatószám’ mezőbe elvileg az sms-ben kapott aktaszámot kell beírni (s ez a szám minden kiküldött sms esetében ugyanaz), de teljesen mindegy, hogy mit írunk be, a következő oldal ez lesz a kattintás után:

Az oldalon futó script úgy van beállítva, hogy a bírság befizetésének a határideje pont arra a napra essen, amely napon megnyitják az oldalt.

Viszont amikor itt a ‘Fizetés’ gombra kattintottam, akkor az ingyenesen telepített AVG AntiVirus programja megszakította a kapcsolatot a rendorseg.net webhellyel, s – bolondbiztos módon – nem engedte, hogy belépjek az oldalra. Ezért nyitottam egy virtuális gépet, azon kikapcsoltam a vírusvédelmet, s úgy léptem be – ami nem jelent kockázatot, ui. a virtuális gép ‘játszótere’ el van szigetelve a gazdagéptől, s bármikor törölhetem, s léte hozhatok helyette pár kattintással egy új virtuális gépet, így ezek a virtuális gépek kiválóan alkalmasak fertőzött oldalak meglátogatására.

Ezt követően – már a virtuális gépen – az igazi adathalász oldalra jutottam el (https://rendorseg.net/pages/card.php):

Amennyibe itt megadjuk a kártyaszámot és a CVV kódot, akkor pillanatokon belül leemelik a számlánkról azt a pénzt, amit az internetes vásárlásra a számlánkon beállított napi limit megenged (azaz nem csak a 4550 ft-t).

Az oldal tesztelésénél először ‘hasból’ írtam be egy 16 számjegyű számsort, ill. a többi adatot, s a rendszerük elfogadta ezt a kamu kártyaszámot (további tesztelés során már nem fogadott el véletlen számsort !!! – ekkor már a hivatalos teszt kártyaszámot adtam meg: 4111 1111 1111 1111 – ez továbbra is elfogadta a rendszer), s egy ‘adatok feldolgozása’ ikont kaptam, miszerint ‘a betöltés akár 40 másodpercig is eltarthat.

Ezt követően a következő oldal töltődött be:

Itt azt az sms-kódot kérik el, amit a számlavezető bank küld el a felhasználó mobiltelefonjára, hogy ezzel hitelesítse, hogy a felhasználó kezdeményezte a tranzakciót. Ide ismét egy véletlen számsort írtam. Ezt követően ismét a ‘a betöltés akár 40 másodpercig is eltarthat.‘ képernyő következik, majd ez:

Újrafelhasznált weboldal

Az oldal címe rendorseg.net, s ez nyilván megtévesztő, hiszen a hétköznapi felhasználó általában nem tudja, hogy a magyar rendőrség hivatalos oldala, a police.hu. A megtévesztésre használt domain-t a whois oldalak szerint 2024 május 10-én regisztrálták. A kihivott.hu és hasonló oldalakon – ahol a kéretlen sms-eket küldő gyanús telefonszámokat osztják meg a felhasználók – már másnap, 2024 május 11-én megjelentek az első figyelmeztetések erről az adathalász oldalról.

Az oldalt tehát a csalók május 10-én élesítették be a rendorseg.net domain címen, maga az oldal (amit a böngésző betölt) azonban nem új, csupán egy olyan oldal, amelyet más domainekről már korábban is használtak adathalászatra. A csalók csupán az internetes címét változtatták meg, előtte ugyanis ugyintezes-hu-rendorseg.com, a rendorseg-info-hu, ill. az ugyintezespolice-hu.com, s más címeken volt elérhető ugyanez a webpage.

Viszont meg tudjuk mondani, hogy ezt a html oldalt mikor hozták létre, s mikor használták először, ugyanis az oldalon találunk egy linket – ami a rendőrség hivatalos oldaláról lett kimásolva -, s azon szerepel egy dátum: 2023 08 02.

Azaz a rendőrség honlapját utánzó oldalt 2023 augusztus 2.-án hozhatták létre – s ezen az imitált oldalon akkor ‘állt meg az idő’, míg a rendőrség hivatalos honlapján ezek a linkek, s a hozzá tartozó dátumok folyamatosan frissülnek a legújabb, naprakész tartalommal.

S elkészülte után már öt nap múlva, augusztus 7.-én már a rendőrség hivatalos honlapja figyelmeztet erre az adathalász oldalra: https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/felhivasok/figyelem-adathalasz-oldal:

Adathalász csalók a rendőrség nevével visszaélve, a közigazgatási bírság ellenőrzési felületén keresztül próbálnak bankkártya adatokat megszerezni, és valótlan befizetés kezdeményezésére hívják fel hatóságunk nevében az érintetteket.

A személyes és banki adataik védelme érdekében fontos, hogy a rendőrség e-ügyintézési portáljának elérése kizárólag a https://ugyintezes.police.hu/ honlapcím beírásával történjen.

Kérjük, hogy a www.ugyintezespolice-hu.com oldalt ne nyissa meg, azon semmilyen adatot ne adjon meg, fizetési folyamatot ne kezdeményezzen!

Whois oldalakról megtudhatjuk, hogy mikor hozták létre az oldal internetes domainjét, az ugyintezespolice-hu.com webcímet (2023 aug. 4.), s mikor változtatták meg rajta utoljára a tartalmat (2023 aug. 12.) – vélhetően ekkor lőtték ki az adathalász oldalt, s tettek fel rá egy kommersz keresőt, s az látható ma is az http://www.ugyintezespolice-hu.com webcímen. Az oldal tehát 9 napon keresztül működött 2023 augusztusában.:

Creation Date: 2023-08-04
Updated Date: 2023-08-12

Ugyanakkor a rendőrség a csaló oldal első megjelenése után 10 hónappal – idén, 2024 május 3-án – a rendőrségi honlapon (https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/matrix-projekt/ismet-probalkoznak-a-rendorseg-neveben-irt) ismét figyelmeztet, miszerint ‘ismét próbálkoznak a rendőrség nevében‘ – azaz ennek az adathalászatnak egy újabb hulláma indult meg.

Látható, hogy az sms szinte ugyanaz, azonban itt (a képen) az ugyintezes-hu-rendorseg.com domain szerepel. Ez a domain a dzdb.caida.org oldal névszerverekre vonatkozó adatai szerint 2023 október 14 és 21 között volt aktív, így a fenti rendőrségi figyelmeztetéshez betett kép vélhetően egy korábbi esetre vonatkozó illusztráció, s a rendőrségi hírben sem szerepel az akkor éppen aktuális cím.

Azaz vélhetően 2023 május elején indult meg ennek az adathalász oldalnak egy újabb akciója több domainról is, amelyeket sorban kilőhettek a hatóságok, de ugyanolyan gyorsan hoztak létre helyettük újabb domaineket a csaló oldal üzemeltetői, míg végül 2024 május 10-én elkezdett működni rendorseg.net domain is, amit a blogger meglátogatott – s ez az oldal még a bejegyzés posztolásának az idején is működik még.

A következő listán láthatjuk, hogy ez az adathalász oldal milyen domainokról működött, s követhetjük, hogy egy-egy oldal hány napig volt életben. Az alábbi oldalakban mind közös, hogy a felhasználók félrevezetéséhez a blog elején ismertetett sms-t használták, s ezek közül néhány fotóját is megmutatjuk. (A lista természetesen nem teljes.)

domainidőszakidőtartam
ugyintezespolice-hu.com2023 aug. 4. – aug. 12.9 nap
ugyintezes-policeportal.com2023 okt. 9. – okt. 134 nap
ugyintezes-hu-rendorseg.com2023 okt. 13. – 19.7 nap
ugyintezespolice-portal.com2023 okt. 15. – 19.5 nap
ugyintezes-portailrendorseg.com2023 okt. 18. – okt. 19.2 nap
ugyintezes-rendorseghu.com2023 okt. 18. – okt. 19.2 nap
fizesse-ki-a-birsagomat.org2024 jan. 14. – jan. 29.16 nap
fizesse-ki-a-birsagot-itt.com2024 jan. 17. – febr. 1.16 nap
rendorsegportal.com2024 ápr. 18. – ápr. 19.2 nap
rendorseg-info.com2024 ápr. 22. – máj. 7.16 nap
rendorseg-hu.net (192.3.179.68)2024 ápr. 24 –élő (máj. 22)
police-hu.com2024 ápr. 25. – máj. 10.16 nap
rendorseg-hu.info2024 ápr. 28. – máj. 14.17 nap
rendorseg-info-hu.com2024 május 4 – május 1916 nap
rendorseg.net (172.187.229.14)2024 május 10 –élő (máj. 22)

S két képernyőmentés az sms-ekről különböző netes posztokból:

S kezdetben – 2023 szeptemberében – a büntetési tétel még 10 000 ft volt, s nyilván azért ‘csökkentették’, mert egy lélektani határ alatt a felhasználók vélhetően nagyobb hajlandóságot mutatnak, hogy befizessék ezt az összeget, s így lett ez az összeg 4550 ft.

Trauma, titok és hallgatás Fejes Endre Rozsdatemető c. regényében – 2. Az értelmezés nehézségei: abszurd belemagyarázás vagy groteszk geg?

„Néhol kifejezetten hatásvadász és kínos elemei a regénynek, hogy … a halál és a halálhoz való viszony bizarr formákban jelenik meg. ” (Kavalszky Zsófia, Literatura 2012/2)

Egy kattintás ide a folytatáshoz….

Trauma és neofrázia Csontváry önéletírásában – 5. rész – Hírnév és hiány

A híres Wertmüller

Az előző poszt írása során a latinóra bloggere valahogy úgy érezte, hogy valami nem stimmel a ‘híres Wertmüller‘ kifejezéssel. Olyan érzése volt, mintha Csontváry szóhasználatában a ‘híres‘ szó mögött valamilyen irónia bújna meg. S ekkor megnézte, hogy Csontváry szövegében hol fordul elő még a ‘híres‘ szó, s azt vette észre, hogy mindig ‘valaminek a hiánya’, a ‘valamit nélkülözés’, a ‘valaminek az elvesztése’ tartalmak állnak mellette. Nézzük az előfordulásokat!

Egy kattintás ide a folytatáshoz….

Trauma és neofrázia Csontváry önéletírásában – 4. rész – Nevemben végzetem?

‘… s én azt kérdezem,
mi a nevem és a fegyvernemem?’

Cseh Tamás

A festő apjának a neve posztupiczi Kostka László, s Csontváryt Kostka Mihály Tivadar néven anyakönyvezték. Ugyanakkor a festő a családnevét már Kosztka alakban írta, s a Mihály utónevet elhagyta, majd Csontosy Tivadar, képeit pedig 1900-tól Csontváry Kosztka Tivadar néven jegyezte. A koszt (oroszul: koszty) a legtöbb szláv nyelvben ‘csontot’, a kosztka (oroszul: kosztocska) ‘csontocskát, kicsiny magot, magocskát’ jelent (forrás: Kozák Péter).

Egy kattintás ide a folytatáshoz….