Phishing Raiffeisen


(SFATURI UTILE PENTRU UTILIZATORII ATEHNICI LA FINALUL ARTICOLULUI)

In ultima vreme cred ca toti am primit tot felul de mesaje dubioase presupus sosite de la Raiffeisen Bank. Eu am tot primit si abia in urma cu ceva timp am decis sa le pastrez pe toate. In total am primit cam de 3 ori mai multe decat se vad in figura de mai jos :

Phishing Raiffeisen - mail-uri primite de-a lungul timpuluiPhishing Raiffeisen – mail-uri primite de-a lungul timpului

Toate sunt mesajele dein figura de mai sus sunt mail-uri neautentice. Observati numele de expeditor si subiectele folosite. Au incercat sa foloseasca denumiri cat mai convingatoare si subiecte cat mai determinante pentru a deschide mesajul.

Haideti sa deschidem ultimul mail primit acum :

Phishing Raiffeisen - continutul unui mail tipicPhishing Raiffeisen – continutul unui mail tipic

Sa luam pe rand elementele interesante din aceasta poza (de sus in jos):

  1. Adresa efectiva de expeditor a lui „Raiffeisen Bank” este „noowow@raifffeisen.ro” – e clar ca nu e o adresa normala. Ce e aia „noowow”?!
  2. Campul „To” nu contine nimic. E tipic pentru mail-urile trimise in masa, un mail ce e destinat strict unei persoane, cum ar fi acest mail, ar fi trebuit sa contina adresa mea de e-mail in acest camp
  3. Daca mentii cursorul mouse-ului peste link-ul oferit se vede clar ca nu duce la raiffeisen.ro ci la alt domeniu / site – ACESTA ESTE CEL MAI BUN INDICATOR CA ESTE UN MAIL NEAUTENTIC !!!
  4. Pierderea de date de care se vorbeste in mail e aberanta dpdv. tehnic insa un utilizator atehnic poate sa se sperie de o asemenea situatie si sa fie mai credul in a da click pe link

Hai sa dam click pe link, acum n-om muri din asta, nu? (pentru cei mai putin avizati procedati cu mare grija sau nu procedati de loc) :

Raiffeisen Bank - site-ul de phishingRaiffeisen Bank – site-ul de phishing

Elemente dubioase pentru aceasta faza a inselaciunii :

  1. Adresa la care ne aflam datorita click-ului dat anterior nu este nici din domeniul Raiffeisen.ro nici adresa pe care o vizualizasem anterior stand cu cursorul mouse-ului pe link-ul din scrisoare. Cel mai probabil server-ul anterior era doar pentru redirectionare aici
  2. Adresa, bineinteles, nu contine https ci http drept protocol (primele litere din cadrul URL-ului), deci comunicare necriptata (in clar), inca o dovada de ne/anti-siguranta operatiunii
  3. Aspectul grafic al paginii este clonat efectiv de la Raiffeisen.ro pentru a induce cat mai bine in eroare un phraer (ca tot e la moda printre hackeri ph-ul)
  4. Datele de contact de pe pagina (stanga jos) sunt corecte
  5. Copyright-ul e cam vechi (dreapta jos)
  6. Exista o sigla – care evident nu valoreaza nimic – al VeriSign (dreapta centru) privind certificatele SSL. Aici chiar nu e cazul pentru ca oricum protocol nu e https ci http – insa asa era pagina originala si aceasta trebuie sa semene cat mai mult cu ea

Introduc un cod de utilizator la misto si merg mai departe :

Raiffeisen Bank Phishing - ApogeulRaiffeisen Bank Phishing – Apogeul

Cateva mentiuni pentru aceasta pagina :

  1. Parola introdusa este la misto (in cazul asta cred ca a fost ceva de genul „va futim baa”
  2. numarul de card este evident si el aberant
  3. Codul de utilizator a fost persistat de pe pagina anterioara – prin POST, in URL nu apare
  4. Pagina anterioara avea extensia html si aceasta are php – plus ca are alt nume – o incosistenta, as putea spune ce alerteaza un utilizator mai avizat – daca nu s-a sesizat pana aici.

In final dau click pe „Continua”, linistit fiind ca datele sunt strict fictive. Ce se intampla mai departe?

Phishing Raiffeisen Bank - incheiereaPhishing Raiffeisen Bank – incheierea

Ajungem pe pagina principala REALA a site-ului Raiffeisen Online.

Daca eram un utilizator al Raiffeisen Online credul si neavizat (adica prost – prost inseamna la origine „din popor” si nu o jignire) acum tocmai mi-as fi impartasit credentialele cu niste hacker-i ce vor fi fericiti sa isi extraga din contul meu cati bani pot.

Care a fost esenta intregii miscari?

  1. Un mail care sa semene ca forma cat mai mult cu mail-urile trimise de Raiffeisen Online ce ma invita sa ma autentific pentru un motiv
  2. Directionarea mea catre alt server decat cel de la Raiffeisen.
  3. Introducerea credentialelor mele
  4. Stocarea credentialelor mele si probabil procesarea automata a lor in scopul retragerii unei sume maxime de bani
  5. Directionarea mea mai departe catre server-ul autentic Raiffeisen Online

Am vazut mai multe tentative de phishing in viata reala, si cele pentru Yahoo Mail de acum vreo 3-4 ani erau MUUULT mai bine realizate decat aceste mistocarii de trei lei ale unor script kiddies ce mai ragaie cate o manea de php din cand in cand. Care sunt punctele slabe ale acestei tentative de phishing?

  1. Adresa ce era „sub” link-ul „https://www.raiff…” este de cacat, nu prosteste pe nimeni ce se uita la ea – la yahoo mail am vazut chestii frumoase de forma „http://mail.yahoo.com.ceva.altceva…”
  2. Adresa la care ajungi efectiv dupa click e de asemenea de trei lei
  3. Dupa introducerea credentialelor ar fi fost mult mai credibil sa te logheze efectiv – ar fi fost o miscare perfect transparenta – insa probabil https-ul de pe pagina efectiva de logare a Raiffeisen Online le-a frant zborul.

Pe langa toate cunostiintele tehnice ce m-au ajutat sa imi dau seama ca acest mail este o tentativa de frauda m-a ajutat si faptul ca nu am cont la Raiffeisen Online =))🙂

In final, pentru utilizatorul obisnuit ce nu a inteles probabil mai nimic din intreg articolasul acesta ce sfaturi ii pot oferi?

  1. Nu da click pe nici un link intr-un mail dubios / important fara sa stai cu mouse-ul pe el inainte. Inspecteaza link-ul. Trebuie sa contina „https” pentru orice operatiune delicata gen operatiuni financiare. De la bucata „https://” – de la inceput!! pana la primul slash („/”) trebuie sa fie o adresa VALIDA a serviciului oferit.

    Exemplu valid : „www.raiffeisenonline.ro”

    Trebuie ca ultimele doua fragmente („raiffeisenonline.ro”) sa fie corecte pentru serviciul oferit – sa nu fie ceva de genul „raiffeisenonline-new.ro” sau stiu eu.. Aceste bucati se numesc HOST si TLD (Top Level Domain)

  2. Dupa click pe un link verifica din nou adresa din bara de adresa a browser-ului. Trebuie sa fie corecta – vezi sfatul 1
  3. Daca exista cel mai mic dubiu privind autenticitatea miscarii inchide fereastra si deschide una noua in care introduci manual adresa serviciului si procedeaza de acolo asa cum stii pentru acel tip de operatiune FARA a urma pasii dati de alte persoane
  4. Suna la serviciul respectiv daca ai vreun dubiu privind mail-ul. Serviciul clienti ar trebui sa iti poata oferi sfaturi pentru a te feri de tzepe. Ei nu vor sa iti dea altii tzeapa. Vor ca „tzeapa” (dobanzi, comisioane etc.😉 ) sa ti-o dea ei.

Bafta, si daca aveti intrebari nu ezitati sa comentati la aceasta postare🙂

8 Răspunsuri to “Phishing Raiffeisen”

  1. amy Says:

    funny si util!

  2. Shiva Says:

    Excelent blog pentru neavizati.
    Toata saptamana am fost spamata de astfel de mailuri.

  3. Ovidiu Says:

    ma intreb cum vaneaza adresele noastre de mail?!

  4. Ignat Andrei Says:

    stii care e problema ? ca , desi „ACESTA ESTE CEL MAI BUN INDICATOR CA ESTE UN MAIL NEAUTENTIC !!!” – yahoo nu il baga in spam!

  5. Andrei Rinea Says:

    Intr-adevar nu TOATE intra in spam… ar trebui sa se gandeasca la asta si poate ar trebui si noi sa raportam sugestia..

    • totedati Says:

      hmmm … adică vrei să zici că jmecherii de la raiffeisen nu folosesc încă DIGIPASS-uri pentru acces online banking!?

      e doar pe bază de parolă şi username!? şi număr cont, aşa pentru supersecuritate!?

      lol! păi atunci nici nu mă miră că apar astfel de încercări de phishing … principiul e acelaşi ca la email-urile spam … din sutele de mii, milioanele de mesaje nu trebuie decât unul să cadă de fazan … şi costurile sunt recuperate …

      apropo:

      whois 203.100.194.65
      ==============
      % [whois.apnic.net node-1]
      % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

      inetnum: 203.100.192.0 – 203.100.207.255
      netname: XC-ENET
      descr: Beijing Xijiaoyitong Informational Service Co. Ltd
      descr: Xisi School, Dahonglouchang Road, Northern Xisi Street
      descr: Xicheng, Beijing, China, 100034
      country: CN
      admin-c: GB209-AP
      tech-c: XX312-AP
      status: ALLOCATED PORTABLE
      mnt-by: MAINT-CNNIC-AP
      mnt-lower: MAINT-CNNIC-AP
      mnt-routes: MAINT-CNNIC-AP
      changed: hm-changed@apnic.net 20060313
      source: APNIC

      person: Gao Bao
      nic-hdl: GB209-AP
      e-mail: gaobao68@126.com
      address: Xisi School/Dahonglouchang Road/Northern Xisi street, Xicheng,
      address: Beijing, China, 100034
      phone: +86-010-66169091
      fax-no: +86-84014288-17
      country: CN
      changed: ipas@cnnic.net.cn 20060223
      mnt-by: MAINT-CNNIC-AP
      source: APNIC

      person: Xing Xumen
      nic-hdl: XX312-AP
      e-mail: xingxm2008@yahoo.com.cn
      address: Xisi School/Dahonglouchang Road/Northern Xisi street, Xicheng,
      address: Beijing, China, 100034
      phone: +86-010-66169091
      fax-no: +86-84014288-17
      country: CN
      changed: ipas@cnnic.net.cn 20060223
      mnt-by: MAINT-CNNIC-AP
      source: APNIC

      inetnum: 203.100.192.0 – 203.100.207.255
      netname: XC-ENET
      descr: Beijing Xijiaoyitong Informational Service Co. Ltd
      descr: Xisi School, Dahonglouchang Road, Northern Xisi Street
      descr: Xicheng, Beijing, China, 100034
      country: CN
      admin-c: GB1-CN
      tech-c: XX1-CN
      status: ALLOCATED PORTABLE
      mnt-by: MAINT-CNNIC-AP
      mnt-lower: MAINT-CN-XC-ENET
      changed: ipas@cnnic.net.cn 20060320
      source: CNNIC

      person: Gao Bao
      nic-hdl: GB1-CN
      e-mail: gaobao68@126.com
      address: Xisi School/Dahonglouchang Road/Northern Xisi street, Xicheng,
      address: Beijing, China, 100034
      phone: +86-010-66169091
      fax-no: +86-84014288-17
      country: CN
      changed: ipas@cnnic.net.cn 20060223
      mnt-by: MAINT-CN-XC-ENET
      source: CNNIC

      person: Xing Xumen
      nic-hdl: XX1-CN
      e-mail: xingxm2008@yahoo.com.cn
      address: Xisi School/Dahonglouchang Road/Northern Xisi street, Xicheng,
      address: Beijing, China, 100034
      phone: +86-010-66169091
      fax-no: +86-84014288-17
      country: CN
      changed: ipas@cnnic.net.cn 20060223
      mnt-by: MAINT-CN-XC-ENET
      source: CNNIC
      =======================

      lol! prinde chinezul … scoate-i ochii!

      • Andrei Rinea Says:

        Ciu-ciu… asa e.

  6. Catalin Says:

    Daca introduci un COD DE UTILIZATOR aiurea vei primi un mesaj cum ca acel COD DE UTILIZATOR nu exista, deci spamul este cam prost facut odata ce te-a lasat sa mergi mai departe😉


Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: