BitDefender: Atacurile de tip phishing asupra clientilor BCR si Raiffeisen au acelasi autor sau aceeasi reteta

de Adrian Vasilache     HotNews.ro
Joi, 10 iulie 2008, 19:28 Economie | IT

 documente
Atacurile de tip phishing asupra clientilor BCR si Raiffeisen Bank din aceasta saptamana au la origine acelasi autor/grup infractional sau reprezinta "o noua reteta de succes" aplicata pe piata subterana de "instrumente" phishing din Romania, sustin specialistii BitDefender.

Ambele atacuri, la capatul carora clientii respectivelor banci s-ar putea trezi fara bani in cont, au multe similaritati, de la mesaj pana la elemente grafice comune si folosesc o noua metoda, originala pentru piata din Romania, mult mai greu de depistat de produsele antiphishing.

„Suntem de parere ca la originea acestor campanii de phishing se afla acelasi autor/grup infractional sau ca este vorba de «o noua reteta de succes» vehiculata (sau comercializata deja) pe piata subterana de «instrumente» phishing din Romania. Afirmatia noastra se intemeiaza pe utilizarea aceluiasi element grafic, mai precis, logo-ul VeriSign, incarcat in ambele cazuri de pe portalulul Raiffeisen Online, dupa cum reiese din analiza codului sursa al paginii HTML", a declarat Bogdan Botezatu, specialist in comunicare BitDefender.

In ambele cazuri, continutul mesajelor informeaza utilizatorii serviciilor bancare electronice despre suplimentarea masurilor de securitate, solicitandu-le totodata sa confirme anumite date confidentiale pentru a-si putea accesa conturile on-line.

Un atac mult mai greu de depistat

In cazul ambelor e-mail-uri, asemnatoare in privinta continutului, exista totusi indicii care ar trebui sa puna la indoiala legitimitatea mesajului. Ceea ce surprinde insa cel mai mult este noua metoda de phising, o pagina HTML anexata, care face mult mai greu de depistat atacul.

"S-a renuntat la metoda deja clasica a introducerii unui simplu hyperlink catre un site unde se cer detaliile despre numarul cardului, PIN-ul si data expirarii, preferandu-se anexarea unei pagini HTML, care trimite datele catre un server. In acest fel, utilizatorul nu mai acceseaza un site aflat la distanta (caz in care ar putea observa ca domeniul incarcat e diferit), ci trimite datele prin intermediul unui script PHP (referinta catre script este vizibila doar din codul sursa al paginii HTML anexate).

Aceasta tehnica, foarte ingenioasa si originala pentru Romania, se dovedeste extrem de prolifica in ocolirea detectiilor oferite de produsele antiphishing care se bazeaza exclusiv pe blacklist – deoarece pagina se incarca local, nu exista un hyperlink efectiv care sa fie comparat cu cele din lista solutiei antiphishing si detectat ca periculos”, a explicat George Petre, cercetator in probleme de Securitate Antispam din cadrul Laboratorului BitDefender.

Atacurile de tip phishing au fost lansate luni (7 iulie) catre clientii Raiffeisen Bank si respectiv joi (10 iulie) catre clientii BCR.













Material sustinut de BCR

VIDEO Antreprenor StartUp Nation / Fondatorul Scolii de Bijuterie Contemporana: Eu nu vin la serviciu, eu vin in propriul meu atelier, in care imi exprim ideile. Ceea ce misca industria asta sunt ideile, nicidecum cifrele

David Sandu s-a ocupat de designul de bijuterii de cand era copil si a invatat pe cont propriu tot ceea ce stie. Assamblage - Scoala de Bijuterie Contemporana a aparut drept consecinta a acestei pasiuni. David face parte dintr-o industrie creativa emergenta, insa atat el, cat si cei care au trecut in ultimii 7 ani pe la bancurile de lucru ale scolii sale se vad adesea nevoiti sa spuna ca fac alte lucruri, pentru ca activitatea lor nu exista intr-un cadru legal.

2126 vizualizari

  • 0 (4 voturi)    
    Slabut Bitdefender (Vineri, 11 iulie 2008, 1:53)

    sanlav [anonim]

    Probleme de acest gen exista - cel putin oficial - de 6 luni. E o problema serioasa pt utilizatorii Windows pina cina furnizorii internet si firmele care cred ca au personal IT serios se vor cirpaci = patch...
    • +1 (3 voturi)    
      @ sanlav (Vineri, 11 iulie 2008, 9:22)

      cts [utilizator] i-a raspuns lui sanlav

      Explicatia din articol este destul de clara pentru nespecialisti (asta fiind si rolul articolului).

      Ar fi insa interesant sa detaliezi ce ai vrut sa spui in textul tau, mai ales in a doua fraza. Astep cu interes o explicatie la fel de clara pentru un nespecialist.
    • +1 (1 vot)    
      Legatura dintre sula si prefectura (Vineri, 11 iulie 2008, 10:52)

      zzone [anonim] i-a raspuns lui sanlav

      Tentativa de frauda descrisa in articol (mentionez ca am primit si eu mesajul) exploateaza o bresa de securitate ce nu poate fi acoperita de nici un patch: naivitatea/credulitatea/prostia. E ca si cum ti-as trimite o carte prin colet postal. Cei de la posta o pot scana, verifica si rasverifica sa nu contine bombe, otrava sau alte treburi periculoase. Dar nu pot niciodata sa iti spuna ca daca faci ceea ce scrie in carte iti poate dauna.
  • 0 (0 voturi)    
    "phishing" da sa intelegem si noi... (Vineri, 11 iulie 2008, 15:24)

    Anonim [anonim]

    am inteles ca nu se mai folosesc linkuri catre un site aiurea... acu au pus in corpul mailului un script php. ok, dar scriptul ala nu ar trebui sa trimita datele undeva? de obicei cand se foloseste o metoda de expediere de date stiu ca se deschide un port, sau macar apare o avertizare cum ca urmeaza sa se intample ceva... cei cu un firewall bine setat ar putea sa se prinda ca nu e ceva ok. si a 2 a chestie, daca tot se stie cam unde ajung mesajele de ce nu se scaneaza putin sa vedem ale cui sunt respectivele ip/uri (clase).

    nu putem corecta prostia oameneasca cu nici un patch , dar nici nu am auzit sa fi prins pe cineva din bransa. oare sunt asa de "buni" ? sau lupul e paznic la oi?
    • 0 (0 voturi)    
      Nu e obligatoriu (Vineri, 11 iulie 2008, 15:44)

      zzone [anonim] i-a raspuns lui Anonim

      Daca transmisia se face pe portul 80, cel folosit in mod curent pentru traficul web, nu se poate face diferenta intre un site "bun" si unul "rau". Intr-adevar trimiterea de date poate fi sesizata, dar tot trimitere de date e si cand bagi o parola de cont de e-mail (cand intri pe cont la Yahoo!, de exemplu). Aceasta manevra ar putea fi blocata cu pretul blocarii complete a accesului la internet.

      In final totul se reduce la aceeasi problema naivitatea victimelor. Dupa mine, daca ai un card si bagi PIN-ul in alte parte decat la un bancomat, meriti ceea ce ti s-a intamplat.
      Toate bancile "urla" din toti rarunchii (scrie si pe hartia ce insoteste cardul cand acesta iti este livrat) ca NU trebuie sa divulgi PIN-ul nimanui, nici macar bancii.
    • 0 (0 voturi)    
      phishing (Vineri, 11 iulie 2008, 17:06)

      kalinix [anonim] i-a raspuns lui Anonim

      in vechea metoda ti se trimitea un link spre o pagina asemanatoare cu cea a bancii, care era insa la o adresa diferita (de exemplu in loc sa fie catre www.rai..en.ro era spre 8x.1xx.4xx.3/php_bla-bla/rai..en.html). Daca esti atent la link iti dai usor seama ca e un fals.
      folosind noua metoda, baietii au copiat pagina, au atasat-o mail-ului, insa au inclus in pagina un form ce are in spate un script ce folosind GET sau POST trimite datele introduse in form-ul respectiv catre un server.
      Pentru orice firewall sau antivirus, traficul generat de aceasta pagina este trafic legitim, fiind o cerere catre un server HTTP.

      Oricum, ideea e ca in cazul in care primiti un astfel de mail, cel mai bine e sa evitati click-urile pe link-uri, sa deschideti browserul si sa intrati direct pe pagina bancii.
    • 0 (0 voturi)    
      Porturi (Marţi, 15 iulie 2008, 10:26)

      Bogdan Botezatu [anonim] i-a raspuns lui Anonim

      Teoretic, portul folosit de scriptul PHP este tot cel HTTP (adica 80), care e deja deschis in firewall. Portul 80 e numit si "universal" pentru ca nici o solutie firewall comerciala nu il blocheaza vreodata. IP-urile sunt in mare parte rezolvate printr-un serviciu de genyl dynDNS, adica se da un subdomeniu care rezolva un IP dinamic (cum e cel de la RDS).


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Vineri