Phishing Raiffeisen

(SFATURI UTILE PENTRU UTILIZATORII ATEHNICI LA FINALUL ARTICOLULUI)

In ultima vreme cred ca toti am primit tot felul de mesaje dubioase presupus sosite de la Raiffeisen Bank. Eu am tot primit si abia in urma cu ceva timp am decis sa le pastrez pe toate. In total am primit cam de 3 ori mai multe decat se vad in figura de mai jos :

Phishing Raiffeisen – mail-uri primite de-a lungul timpului

Toate sunt mesajele dein figura de mai sus sunt mail-uri neautentice. Observati numele de expeditor si subiectele folosite. Au incercat sa foloseasca denumiri cat mai convingatoare si subiecte cat mai determinante pentru a deschide mesajul.

Haideti sa deschidem ultimul mail primit acum :

Phishing Raiffeisen – continutul unui mail tipic

Sa luam pe rand elementele interesante din aceasta poza (de sus in jos):

1. Adresa efectiva de expeditor a lui „Raiffeisen Bank” este „noowow@raifffeisen.ro” – e clar ca nu e o adresa normala. Ce e aia „noowow”?!
2. Campul „To” nu contine nimic. E tipic pentru mail-urile trimise in masa, un mail ce e destinat strict unei persoane, cum ar fi acest mail, ar fi trebuit sa contina adresa mea de e-mail in acest camp
3. Daca mentii cursorul mouse-ului peste link-ul oferit se vede clar ca nu duce la raiffeisen.ro ci la alt domeniu / site – ACESTA ESTE CEL MAI BUN INDICATOR CA ESTE UN MAIL NEAUTENTIC !!!
4. Pierderea de date de care se vorbeste in mail e aberanta dpdv. tehnic insa un utilizator atehnic poate sa se sperie de o asemenea situatie si sa fie mai credul in a da click pe link

Hai sa dam click pe link, acum n-om muri din asta, nu? (pentru cei mai putin avizati procedati cu mare grija sau nu procedati de loc) :

Raiffeisen Bank – site-ul de phishing

Elemente dubioase pentru aceasta faza a inselaciunii :

1. Adresa la care ne aflam datorita click-ului dat anterior nu este nici din domeniul Raiffeisen.ro nici adresa pe care o vizualizasem anterior stand cu cursorul mouse-ului pe link-ul din scrisoare. Cel mai probabil server-ul anterior era doar pentru redirectionare aici
2. Adresa, bineinteles, nu contine https ci http drept protocol (primele litere din cadrul URL-ului), deci comunicare necriptata (in clar), inca o dovada de ne/anti-siguranta operatiunii
3. Aspectul grafic al paginii este clonat efectiv de la Raiffeisen.ro pentru a induce cat mai bine in eroare un phraer (ca tot e la moda printre hackeri ph-ul)
4. Datele de contact de pe pagina (stanga jos) sunt corecte
5. Copyright-ul e cam vechi (dreapta jos)
6. Exista o sigla – care evident nu valoreaza nimic – al VeriSign (dreapta centru) privind certificatele SSL. Aici chiar nu e cazul pentru ca oricum protocol nu e https ci http – insa asa era pagina originala si aceasta trebuie sa semene cat mai mult cu ea

Introduc un cod de utilizator la misto si merg mai departe :

Raiffeisen Bank Phishing – Apogeul

Cateva mentiuni pentru aceasta pagina :

1. Parola introdusa este la misto (in cazul asta cred ca a fost ceva de genul „va futim baa”
2. numarul de card este evident si el aberant
3. Codul de utilizator a fost persistat de pe pagina anterioara – prin POST, in URL nu apare
4. Pagina anterioara avea extensia html si aceasta are php – plus ca are alt nume – o incosistenta, as putea spune ce alerteaza un utilizator mai avizat – daca nu s-a sesizat pana aici.

In final dau click pe „Continua”, linistit fiind ca datele sunt strict fictive. Ce se intampla mai departe?

Phishing Raiffeisen Bank – incheierea

Ajungem pe pagina principala REALA a site-ului Raiffeisen Online.

Daca eram un utilizator al Raiffeisen Online credul si neavizat (adica prost – prost inseamna la origine „din popor” si nu o jignire) acum tocmai mi-as fi impartasit credentialele cu niste hacker-i ce vor fi fericiti sa isi extraga din contul meu cati bani pot.

Care a fost esenta intregii miscari?

1. Un mail care sa semene ca forma cat mai mult cu mail-urile trimise de Raiffeisen Online ce ma invita sa ma autentific pentru un motiv
2. Directionarea mea catre alt server decat cel de la Raiffeisen.
3. Introducerea credentialelor mele
4. Stocarea credentialelor mele si probabil procesarea automata a lor in scopul retragerii unei sume maxime de bani
5. Directionarea mea mai departe catre server-ul autentic Raiffeisen Online

Am vazut mai multe tentative de phishing in viata reala, si cele pentru Yahoo Mail de acum vreo 3-4 ani erau MUUULT mai bine realizate decat aceste mistocarii de trei lei ale unor script kiddies ce mai ragaie cate o manea de php din cand in cand. Care sunt punctele slabe ale acestei tentative de phishing?

1. Adresa ce era „sub” link-ul „https://www.raiff…” este de cacat, nu prosteste pe nimeni ce se uita la ea – la yahoo mail am vazut chestii frumoase de forma „http://mail.yahoo.com.ceva.altceva…”
2. Adresa la care ajungi efectiv dupa click e de asemenea de trei lei
3. Dupa introducerea credentialelor ar fi fost mult mai credibil sa te logheze efectiv – ar fi fost o miscare perfect transparenta – insa probabil https-ul de pe pagina efectiva de logare a Raiffeisen Online le-a frant zborul.

Pe langa toate cunostiintele tehnice ce m-au ajutat sa imi dau seama ca acest mail este o tentativa de frauda m-a ajutat si faptul ca nu am cont la Raiffeisen Online =)) 🙂

In final, pentru utilizatorul obisnuit ce nu a inteles probabil mai nimic din intreg articolasul acesta ce sfaturi ii pot oferi?

1. Nu da click pe nici un link intr-un mail dubios / important fara sa stai cu mouse-ul pe el inainte. Inspecteaza link-ul. Trebuie sa contina „https” pentru orice operatiune delicata gen operatiuni financiare. De la bucata „https://” – de la inceput!! pana la primul slash („/”) trebuie sa fie o adresa VALIDA a serviciului oferit.

   Exemplu valid : „www.raiffeisenonline.ro”

   Trebuie ca ultimele doua fragmente („raiffeisenonline.ro”) sa fie corecte pentru serviciul oferit – sa nu fie ceva de genul „raiffeisenonline-new.ro” sau stiu eu.. Aceste bucati se numesc HOST si TLD (Top Level Domain)

2. Dupa click pe un link verifica din nou adresa din bara de adresa a browser-ului. Trebuie sa fie corecta – vezi sfatul 1
3. Daca exista cel mai mic dubiu privind autenticitatea miscarii inchide fereastra si deschide una noua in care introduci manual adresa serviciului si procedeaza de acolo asa cum stii pentru acel tip de operatiune FARA a urma pasii dati de alte persoane
4. Suna la serviciul respectiv daca ai vreun dubiu privind mail-ul. Serviciul clienti ar trebui sa iti poata oferi sfaturi pentru a te feri de tzepe. Ei nu vor sa iti dea altii tzeapa. Vor ca „tzeapa” (dobanzi, comisioane etc. 😉 ) sa ti-o dea ei.

Bafta, si daca aveti intrebari nu ezitati sa comentati la aceasta postare 🙂