Razvan Burz

de Razvan Burz

Atac Phishing mascat in Banca Transilvania

Astăzi am primit un e-mail pe care Exchange l-a catalogat direct ca fiind „ceva putred” si l-a trimis direct in Junk. După cum știți, Exchange, pe Office 365 beneficiază de avantajele ForeFront, soluția anti-virus a Microsoft-ului, destinată mediului enterprise.Datele e-mail-ului sunt următoarele (am modificat adresa de e-mail la care a fost trimisa):
 1: Received: from AMXPRD0410HT003.eurprd04.prod.outlook.com (10.255.56.38) by
 2: AMXPRD0410HT001.eurprd04.prod.outlook.com (10.255.56.36) with Microsoft SMTP
 3: Server (TLS) id 14.16.164.8; Wed, 4 Jul 2012 09:44:51 +0000
 4: Received: from mail67-co1-R.bigfish.com (216.32.180.180) by
 5: AMXPRD0410HT003.eurprd04.prod.outlook.com (10.255.56.38) with Microsoft SMTP
 6: Server (TLS) id 14.16.164.8; Wed, 4 Jul 2012 09:44:51 +0000
 7: Received: from mail67-co1 (localhost [127.0.0.1]) by mail67-co1-R.bigfish.com
 8: (Postfix) with ESMTP id A26CE74019D for <ASCUNSA@DOMENIU.com>; Wed, 4 Jul
 9: 2012 09:42:47 +0000 (UTC)
 10: X-Forefront-Antispam-Report: CIP:69.144.19.134;KIP:(null);UIP:(null);IPV:NLI;H:mail.mehcc.com;RD:host-69-144-19-134.static.bresnan.net;EFVD:NLI
 11: X-BigFish: ps147(zzzzdcah1202hzzz31h668h839h940h5d4s953iwa7jk221ln)
 12: X-FOSE-spam: This message appears to be spam.
 13: X-SpamScore: 147
 14: Received-SPF: softfail (mail67-co1: transitioning domain of btrl.ro does not designate 69.144.19.134 as permitted sender) client-ip=69.144.19.134; [email protected]; helo=mail.mehcc.com ;il.mehcc.com ;
 15: Received: from mail67-co1 (localhost.localdomain [127.0.0.1]) by mail67-co1
 16: (MessageSwitch) id 1341394965188161_11631; Wed, 4 Jul 2012 09:42:45 +0000
 17: (UTC)
 18: Received: from CO1EHSMHS001.bigfish.com (unknown [10.243.78.235]) by
 19: mail67-co1.bigfish.com (Postfix) with ESMTP id 1CC4F540051 for
 20: <ASCUNS@DOMENIU.com>; Wed, 4 Jul 2012 09:42:45 +0000 (UTC)
 21: Received: from mail.mehcc.com (69.144.19.134) by CO1EHSMHS001.bigfish.com
 22: (10.243.66.11) with Microsoft SMTP Server id 14.1.225.23; Wed, 4 Jul 2012
 23: 09:42:44 +0000
 24: Received: from User ([81.82.239.161]) by mail.mehcc.com with Microsoft
 25: SMTPSVC(6.0.3790.3959); Wed, 4 Jul 2012 03:44:44 -0600
 26: From: Banca Transilvania <info@btrl.ro>
 27: Subject: Mesaj Important
 28: Date: Wed, 4 Jul 2012 11:44:45 +0200
 29: MIME-Version: 1.0
 30: Content-Type: text/html; charset="Windows-1251"
 31: Content-Transfer-Encoding: 7bit
 32: X-Priority: 3
 33: X-MSMail-Priority: Normal
 34: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
 35: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
 36: Message-ID: <MHCCW031D0kWSxlXpsk00003b03@mail.mehcc.com>
 37: X-OriginalArrivalTime: 04 Jul 2012 09:44:45.0383 (UTC) FILETIME=[A4EBD570:01CD59C9]
 38: To: Undisclosed recipients:;
 39: Return-Path: [email protected]
 40: X-MS-Exchange-Organization-SCL: 7
 41: X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0
 42: X-MS-Exchange-Organization-AuthSource:
 43: AMXPRD0410HT003.eurprd04.prod.outlook.com
 44: X-MS-Exchange-Organization-AuthAs: Anonymous
Subiect: Mesaj important Continutul e-mail-ului:
<http://www.bancatransilvania.ro/images/logo_bt.jpg> Stimate client Banca Transilvania, Departamentul nostru tehnic si-a actualizat recent serviciile noastre online, ca urmare al acestui upgrade va rugam sa confirmati detaiile dvs. de accesare a contului online. Imposibilitatea de a confirma detaliile contului online va duce la suspendarea definitva a acestuia. Click aici <http://host43-76-static.243-95-b.business.telecomitalia.it/www.bancatransilvania.ro/> pentru a fi redirectat pe pagina securizata a Banca Transilvania. Administratia va solicita sa acceptati scuzele noastre pentru neplacerile cauzate si isi exprima recunostinta pentru cooperarea dvs. . © 2006-2012 Banca Transilvania. Toate drepturile rezervate.

Analiza

Dacă ne uităm atenți la cele de mai sus vedem câteva lucruri care pe oricine ar fi trebuit să îl facă puțin suspicios. După cum comunică fiecare bancă, nici un client nu primește e-mail-uri cu „Stimate client…”, ci unul în care îi este specificat numele exact. Eventual „Stimate domnule …”. Prin hot-linking, atacatorii (să le zicem „găinari” de acum încolo) au introdus în corpul mesajului sigla băncii, de la adresa aceasta. Aici este vina băncii, deoarece ar putea pune un filtru anti-hot-linking și astfel ar îngreuna puțin activitatea găinarilor de ocazie. Mereu când accesați un serviciu online, verificați atent adresa URL din bara de adrese a browserului Dumneavoastră. Trebuie să fie neapărat pe domeniul respectivului serviciu. În cazul în care accesați un serviciu online al unei bănci, legislația în vigoare obligă utilizarea unui certificat SSL valid. Acest lucru forțează ca pagina să se încarce prin protocolul HTTPS și nu prin HTTP. Un certificat se emite și semnează pe domeniu, astfel încât un atacator nu va putea realiza o pagina cu un certificat valid decât dacă deja a avut acces la serverele de hosting ale băncii, dar atunci deja trebuie să ne facem alte probleme.

Certificate SSL

La accesarea unei pagini, fiecare browser modern sesizează tipul de protocol utilizat și avertizează utilizatorul în acest sens. Iată care este diferența dintre o pagină cu un certificat valid și una fără un certificat:Pagina falsă (atenție la adresa URL și la lipsa certificatului):Certificat lipsa. Pagina falsăPagina realăPagina reală. Are certificat validPagina originală. Certificatul poate fi verificat

Copia

Pagina pe care vă îndrumă găinarii să o vizitați (sperând in creduli), a fost salvată de pe site-ul oficial BT24, și conține comentariul adăugat de Internet Explorer:
<!-- saved from url=(0064)https://ib.btrl.ro/BT24/
bfo/channel/web/loginframe.jsp?locale=RO>
Deci măcar găinarii s-au „chinuit” să intre pe site-ul BT și să descarce pagina. Iată cum arată cele două pagini, side-by-side („ghiciți” care este pagina originală și care este cea copiată):
Pagina falsăPagina originală
Puțin amuzat și mai mult iritat de găinăriile de acest gen, am vrut să le intru în joc. Deoarece nu sunt client al Băncii Transilvania (asta este un alt semnal de alarmă), am generat eu ceva șiruri de caractere care ar fi trebuit să semene cu ceea ce cerea formularul de pe pagina copiată. După ce am introdus datele, fără să se facă nici o validare prealabilă, am fost întâmpinat de o pagină cu un .GIF animat care îmi comunica (chipurile) că „Se face conexiunea cu serverul”, unde totul se oprea.

Se face conexiunea cu serverul

Metode de prevenire

  1. Fiți mereu sceptici la orice fel de e-mail care vă solicită date.
  2. Dacă e-mail-ul pare să vină din partea unei bănci al cărei client(ă) sunteți, verificați să fie scris numele Dumneavoastră complet.
  3. Când accesați o pagină web dintr-un e-mail, verificați să fie exact adresa către care trebuie să navigați și nu adresa către care vor atacatorii să navigați (aici mai apar și alte posibile probleme: atacuri XSS, redirecționari DNS, dar acestea sunt mai complexe).
  4. Dacă știți cum, verificați sursa mesajului (header-ul e-mail-ului).
  5. Încercați o (singură) dată să introduceți date eronate, pentru a verifica validarea formularelor de pe site. Orice site care cere informații trebuie să aiba o validare corespunzătoare.
  6. Iar dacă tot nu aveți încredere în acel mesaj căutați, cu motorul Dumneavoastră de căutare preferat, site-ul oficial al ofertantului și din secțiunea de contact luați numărul de telefon la care să îi sunați și să le adresați câteva întrebări.
Spor la succes,
Ultimele două articole
Categorii
Ultimele episoade din podcast
Etichete prezente

Poți obține conținut audio, video și text adițional exclusiv prin Burzcast™ VIP

Fă parte din comunitatea VIP, împreună cu alte sute de români minunați!

Abonează-te la newsletter!