Trei atacuri de tip phishing au implicat din nou Raiffeisen, la numai cateva zile dupa cel de joi. E-mailurile au sosit la cateva ore distanta unul de celalalt, sporind astfel sansa ca acestea sa fie luate in serios, din moment ce a doua serie avertiza cu privire la prima.

Primul mail venea, la prima vedere, de pe adresa online@raiffeisen.ro, si continea urmatorul text:

Pentru securitatea dumneavoastra si evitarea pierderii de date deblocarea contului tau Raiffeisen Online se va face din formularul atasat email-ului.

Va multumim pentru colaborare.

Acesta continea un "formular", in fapt o pagina .html ce trimitea utilizatorul care o accesa la adresa http://0xD8D764A3/online.html. Pagina a fost downloadata de pe un server cu IPul 216.252.110.31, primul indiciu cu privire la incercarea de escrocherie.

La o privire mai atenta, observam si ca de fapt mesajul nu a fost trimis de pe "raiffeisen.ro", ci de pe "mail.chasetower.com". O sa va explic imediat si cum puteti face aceasta verificare, in caz ca primiti mailuri pe care le suspectati.

Daca folositi Yahoo, atunci e vorba de un simplu click pe Full Headers. Am incadrat locatia acestuia intr-un chenar rosu in imaginea urmatoare. Fara sa dati click, mailul arata ca in primul print-screen. Dupa ce ati dat click, veti observa ca acum aveti date mai amanuntite despre expeditor:

Phishing Raiffeisen - fara Full Headers
Foto: TownPortal
Phishing Raiffeisen - cu Full Headers
Foto: TownPortal

mta437.mail.re4.yahoo.com from=raiffeisen.ro; domainkeys=neutral (no sig); from=raiffeisen.ro; dkim=neutral (no sig)

Received: from 75.34.142.25 (EHLO mail.chasetower.com) (75.34.142.25) by mta437.mail.re4.yahoo.com with SMTP; Sun, 08 Mar 2009 23:51:37 -0700

Asadar, semnatura este "online@raiffeisen.ro", iar expeditorul real "mail.chasetower.com". Al doilea indiciu de care aveati nevoie. E de la sine inteles ca expeditorul nu va fi mereu Chasetower, asa ca daca observati ca adresa normala difera de cea din Full Headers, fiti cu ochii in patru.

Trecem mai departe, la ultimele mesaje primite. Ambele mailuri contineau un text identic si atentionau:

Duminica, 8 Martie 2009, departamentul de securitate Raiffeisen Bank a semnalat incercarea de spargere a bazei de date Internet Banking. Din acest motiv, pentru siguranta si buna desfasurare a tranzactiilor online, te rugam sa te inregistrezi in noua baza de date, cu o noua masura de siguranta care foloseste metoda de criptare a informatiilor utilizatorului de tipul SSL-Secure.

https://www.raiffeisenonline.ro/Controller/eBankingWeb/auth?SSL

Va multumim pentru intelegere.

Primul indiciu, in cazul de fata, expeditorul: registredraiff02@raiff6.ro si toolsraiff08@raiff22.com. Daca inca nu stiti care este domeniul real al celor de la Raiffeisen, puteti verifica cui apartin aceste domenii dubioase cu ajutorul ROTLD (Romanian Top Level Domain).

Phishing Raiffeisen - Detalii Raiff6 pe ROLTD
Foto: TownPortal
Asadar, domeniu neinregistrat. Folosim din nou Full Headers si aflam:

Received: from 24.71.223.10 (EHLO idcmail-mo1so.shaw.ca) (24.71.223.10) by mta140.mail.ac4.yahoo.com with SMTP; Mon, 09 Mar 2009 07:54:52 -0700

Message-Id: <796o8r$3i6l2c@pd2mo1so-svcs.prod.shaw.ca>

Received: from pd4ml2so-ssvc.prod.shaw.ca ([10.0.141.136]) by pd2mo1so-svcs.prod.shaw.ca with ESMTP;

Received: from 010600179a33498d.pi.shawcable.net (HELO User) ([70.67.71.163])

Al doilea indiciu, formularea. In prima instanta, "te rugam", pentru ca apoi sa intre in paine politetea: "va multumim".

Al treilea indiciu, URL-ul paginilor deschise la click pe linkul din interiorul textului:

1. http://www.humtec.edu.pe/sec/main/pub/login.php?logare/CAM10:0000_tvDvkC3FgGpYVy7BvlReNQ:12c58o847?

Pagina care acum apare ca "Reported Web Forgery! This web site at www.humtec.edu.pe has been reported as a web forgery and has been blocked based on your security preferences".

2. http://kmaac-seoul.com/gnuboard4/bbs/main/pub/login.php?logare/CAM10:0000_tvDvkC3FgGpYVy7BvlReNQ:12c58o847?

Pagina care inca este "in picioare". dupa cum se vede si in imaginea urmatoare:

Phishing Raiffeisen - Alt URL
Foto: TownPortal
Se cer codul de utilizator, parola si numarul cardului, adica toate datele de care ar avea nevoie cineva sa va cheltuiasca banii.

Pe siteul real al bancii, troneaza "cu bold" urmatoarele:

Raiffeisen Bank NU a trimis si NU va trimite, sub nici un pretext, mesaje pe e-mail: de verificare, de autentificare, de atentionare. In consecinta va rugam sa nu raspundeti unor astfel de mesaje, ci sa le directionati catre banca pe adresa de mail: centrala@rzb.ro sau sa le semnalati la numarul de telefon 0800.802.02.02 (apel gratuit);

Si ultimul indiciu, care da de gol cel mai usor incercarile de furt de acest tip: faptul ca nu sunteti client al bancii respective. Caz in care nu aveti nimic de pierdut, dar puteti totusi anunta banca, ajutandu-i astfel pe altii.

Pe scurt, daca aveti dubii cu privire la autenticitatea unui mesaj oficial, urmati urmatorii pasi:

- Fiti atenti la text (greseli gramaticale, formulari ciudate);

- Verificati daca expeditorul real difera de cel afisat (Full Headers);

- Indiferent de continutul paginii, verificati URL-ul pe care ati fost trimis dupa clickul pe link. Mai precis, daca linkul e trecut ca www.siteulbancii.ro, dar clickul va trimite catre pagina www.sitefantoma.ro;

- Daca ambele sunt in regula, nu rasuflati usurati, pentru ca exista inca posibilitatea sa fiti victima unei tentative de furt, cu ajutorul unor tehnici ca URL spoofing sau "otravirea" cacheului DNS. Nu vom vorbi despre ele acum, dar e de ajuns sa stiti ca exista. Daca pagina pare a fi a bancii si e-mailul pare trimis de banca, dar inca sunteti suspiciosi, cel mai bine este sa sunati un reprezentant al acesteia.

Update:

Am contactat Raiffeisen Bank pentru a vedea pozitia oficiala si iata ce a raspuns Octavian Chitoiu, Security Manager:

I: - Aveti de facut vreun comentariu cu privire la numarul sporit al atacurilor phishing ce au tintit Raiffeisen (Cel de saptmana trecuta si cele de astazi in special)?

R: - Deoarece ne confruntam din ce in ce mai des cu astfel de mesaje electronice (cum se intampla si astazi), Raiffeisen Bank are pregatit un set de masuri rapide pentru blocarea acestor tentative de frauda. In atacurile phishing se folosesc clone ale site-ului original, clone postate pe diverse servere aflate de obicei, in afara Romaniei. Banca intervine prompt pentru limitarea efectelor si dezactivarea cat mai rapida a acestor clone. Pentru dezactivarea lor, Raiffeisen Bank sesizeaza urgent toate autoritatile cu atributii in domeniu, dar in acelasi timp colaboreaza pe baze contractuale, cu firme de securitate de renume international, cu bune relatii de lucru cu marii ISP si cu organismele locale cu responsabilitati de reglementare.

Prin serviciul special de detectie a atacurilor phishing pe care banca l-a pus la punct cu un cunoscut furnizor de solutii de securitate, se activeaza rapid planul de raspuns la atacuri, astfel incat sa se previna sau sa se impiedice extinderea fraudelor. In acest plan e inclusa si o stransa colaborare cu departamentul specializat din cadrul Politiei. In fapt, fiecare incercare de fraudare a clientilor nostri este raportata Politiei si, trebuie spus, ca avem o foarte buna si apropiata colaborare cu cei care efectueaza anchetele.

I: - Pe langa informarea pasiva de pe site, in ce mod incercati sa va puneti clientii la adapost de tentativele de frauda?

R: - Educarea si avertizarea clientilor este o alta masura eficienta, pe care ne concentram eforturile folosind toate canalele de comunicare disponibile: mesaje in media, prin intermediul site-ului public, pliante si flyere tiparite pentru clienti, mesaje securizate in cadrul serviciului online, scrisori catre clienti.

Clientul trebuie sa stie ca banca nu trimite niciodata pe e-mail mesaje continand formulare sau programe care sa solicite date personale sau informatii confidentiale. Aceste mesaje ar trebui sa-i ridice suspiciuni din start si sa nu raspunda. E de fapt cea mai sigura masura de prevenire a unei fraude. Banca pune la dispozitia clientilor numere cu tarif gratuit unde se pot obtine informatiile necesare (0800.802.02.02). De asemenea, este bine ca aceste mesaje suspecte sa fie trimise la banca pentru analiza sau eventual sterse, dar in nici un caz sa nu li se dea curs.

Daca totusi un client da curs acestor mesaje, e bine sa ia legatura urgent cu banca pentru a cere instructiuni si pentru a i se bloca contul. Este bine sa se urmareasca site-ul bancii pentru a vedea anunturile/alertele acesteia privind raportarea unor atacuri de phishing. Un client trebuie sa stie ca intotdeauna e mai bine sa dea un telefon de verificare la banca (care nu-l costa nimic), decat sa completeze un formular cu date confidentiale, sub un pretex oarecare.

Din fericire fraudele nu sunt semnificative, semn ca majoritatea clientilor au inteles ca nu trebuie sa dea curs acestor mesaje.

Alex Sima - TownPortal