Primul mail venea, la prima vedere, de pe adresa online@raiffeisen.ro, si continea urmatorul text:
Pentru securitatea dumneavoastra si evitarea pierderii de date deblocarea contului tau Raiffeisen Online se va face din formularul atasat email-ului.
Va multumim pentru colaborare.
Acesta continea un "formular", in fapt o pagina .html ce trimitea utilizatorul care o accesa la adresa http://0xD8D764A3/online.html. Pagina a fost downloadata de pe un server cu IPul 216.252.110.31, primul indiciu cu privire la incercarea de escrocherie.
La o privire mai atenta, observam si ca de fapt mesajul nu a fost trimis de pe "raiffeisen.ro", ci de pe "mail.chasetower.com". O sa va explic imediat si cum puteti face aceasta verificare, in caz ca primiti mailuri pe care le suspectati.
Daca folositi Yahoo, atunci e vorba de un simplu click pe Full Headers. Am incadrat locatia acestuia intr-un chenar rosu in imaginea urmatoare. Fara sa dati click, mailul arata ca in primul print-screen. Dupa ce ati dat click, veti observa ca acum aveti date mai amanuntite despre expeditor:
) |
| Phishing Raiffeisen - fara Full Headers Foto: TownPortal |
 |
) |
| Phishing Raiffeisen - cu Full Headers Foto: TownPortal |
|
mta437.mail.re4.yahoo.com from=raiffeisen.ro; domainkeys=neutral (no sig); from=raiffeisen.ro; dkim=neutral (no sig)
Received: from 75.34.142.25 (EHLO mail.chasetower.com) (75.34.142.25) by mta437.mail.re4.yahoo.com with SMTP; Sun, 08 Mar 2009 23:51:37 -0700
Asadar, semnatura este "online@raiffeisen.ro", iar expeditorul real "mail.chasetower.com". Al doilea indiciu de care aveati nevoie. E de la sine inteles ca expeditorul nu va fi mereu Chasetower, asa ca daca observati ca adresa normala difera de cea din Full Headers, fiti cu ochii in patru.
Trecem mai departe, la ultimele mesaje primite. Ambele mailuri contineau un text identic si atentionau:
Duminica, 8 Martie 2009, departamentul de securitate Raiffeisen Bank a semnalat incercarea de spargere a bazei de date Internet Banking. Din acest motiv, pentru siguranta si buna desfasurare a tranzactiilor online, te rugam sa te inregistrezi in noua baza de date, cu o noua masura de siguranta care foloseste metoda de criptare a informatiilor utilizatorului de tipul SSL-Secure.
https://www.raiffeisenonline.ro/Controller/eBankingWeb/auth?SSL
Va multumim pentru intelegere.
Primul indiciu, in cazul de fata, expeditorul: registredraiff02@raiff6.ro si toolsraiff08@raiff22.com. Daca inca nu stiti care este domeniul real al celor de la Raiffeisen, puteti verifica cui apartin aceste domenii dubioase cu ajutorul ROTLD (Romanian Top Level Domain).
) |
| Phishing Raiffeisen - Detalii Raiff6 pe ROLTD Foto: TownPortal |
|
Received: from 24.71.223.10 (EHLO idcmail-mo1so.shaw.ca) (24.71.223.10) by mta140.mail.ac4.yahoo.com with SMTP; Mon, 09 Mar 2009 07:54:52 -0700
Message-Id: <796o8r$3i6l2c@pd2mo1so-svcs.prod.shaw.ca>
Received: from pd4ml2so-ssvc.prod.shaw.ca ([10.0.141.136]) by pd2mo1so-svcs.prod.shaw.ca with ESMTP;
Received: from 010600179a33498d.pi.shawcable.net (HELO User) ([70.67.71.163])
Al doilea indiciu, formularea. In prima instanta, "te rugam", pentru ca apoi sa intre in paine politetea: "va multumim".
Al treilea indiciu, URL-ul paginilor deschise la click pe linkul din interiorul textului:
1. http://www.humtec.edu.pe/sec/main/pub/login.php?logare/CAM10:0000_tvDvkC3FgGpYVy7BvlReNQ:12c58o847?
Pagina care acum apare ca "Reported Web Forgery! This web site at www.humtec.edu.pe has been reported as a web forgery and has been blocked based on your security preferences".
2. http://kmaac-seoul.com/gnuboard4/bbs/main/pub/login.php?logare/CAM10:0000_tvDvkC3FgGpYVy7BvlReNQ:12c58o847?
Pagina care inca este "in picioare". dupa cum se vede si in imaginea urmatoare:
) |
| Phishing Raiffeisen - Alt URL Foto: TownPortal |
|
Pe siteul real al bancii, troneaza "cu bold" urmatoarele:
Raiffeisen Bank NU a trimis si NU va trimite, sub nici un pretext, mesaje pe e-mail: de verificare, de autentificare, de atentionare. In consecinta va rugam sa nu raspundeti unor astfel de mesaje, ci sa le directionati catre banca pe adresa de mail: centrala@rzb.ro sau sa le semnalati la numarul de telefon 0800.802.02.02 (apel gratuit);
Si ultimul indiciu, care da de gol cel mai usor incercarile de furt de acest tip: faptul ca nu sunteti client al bancii respective. Caz in care nu aveti nimic de pierdut, dar puteti totusi anunta banca, ajutandu-i astfel pe altii.
Pe scurt, daca aveti dubii cu privire la autenticitatea unui mesaj oficial, urmati urmatorii pasi:
- Fiti atenti la text (greseli gramaticale, formulari ciudate);
- Verificati daca expeditorul real difera de cel afisat (Full Headers);
- Indiferent de continutul paginii, verificati URL-ul pe care ati fost trimis dupa clickul pe link. Mai precis, daca linkul e trecut ca www.siteulbancii.ro, dar clickul va trimite catre pagina www.sitefantoma.ro;
- Daca ambele sunt in regula, nu rasuflati usurati, pentru ca exista inca posibilitatea sa fiti victima unei tentative de furt, cu ajutorul unor tehnici ca URL spoofing sau "otravirea" cacheului DNS. Nu vom vorbi despre ele acum, dar e de ajuns sa stiti ca exista. Daca pagina pare a fi a bancii si e-mailul pare trimis de banca, dar inca sunteti suspiciosi, cel mai bine este sa sunati un reprezentant al acesteia.
Update:
Am contactat Raiffeisen Bank pentru a vedea pozitia oficiala si iata ce a raspuns Octavian Chitoiu, Security Manager:
I: - Aveti de facut vreun comentariu cu privire la numarul sporit al atacurilor phishing ce au tintit Raiffeisen (Cel de saptmana trecuta si cele de astazi in special)?
R: - Deoarece ne confruntam din ce in ce mai des cu astfel de mesaje electronice (cum se intampla si astazi), Raiffeisen Bank are pregatit un set de masuri rapide pentru blocarea acestor tentative de frauda. In atacurile phishing se folosesc clone ale site-ului original, clone postate pe diverse servere aflate de obicei, in afara Romaniei. Banca intervine prompt pentru limitarea efectelor si dezactivarea cat mai rapida a acestor clone. Pentru dezactivarea lor, Raiffeisen Bank sesizeaza urgent toate autoritatile cu atributii in domeniu, dar in acelasi timp colaboreaza pe baze contractuale, cu firme de securitate de renume international, cu bune relatii de lucru cu marii ISP si cu organismele locale cu responsabilitati de reglementare.
Prin serviciul special de detectie a atacurilor phishing pe care banca l-a pus la punct cu un cunoscut furnizor de solutii de securitate, se activeaza rapid planul de raspuns la atacuri, astfel incat sa se previna sau sa se impiedice extinderea fraudelor. In acest plan e inclusa si o stransa colaborare cu departamentul specializat din cadrul Politiei. In fapt, fiecare incercare de fraudare a clientilor nostri este raportata Politiei si, trebuie spus, ca avem o foarte buna si apropiata colaborare cu cei care efectueaza anchetele.
I: - Pe langa informarea pasiva de pe site, in ce mod incercati sa va puneti clientii la adapost de tentativele de frauda?
R: - Educarea si avertizarea clientilor este o alta masura eficienta, pe care ne concentram eforturile folosind toate canalele de comunicare disponibile: mesaje in media, prin intermediul site-ului public, pliante si flyere tiparite pentru clienti, mesaje securizate in cadrul serviciului online, scrisori catre clienti.
Clientul trebuie sa stie ca banca nu trimite niciodata pe e-mail mesaje continand formulare sau programe care sa solicite date personale sau informatii confidentiale. Aceste mesaje ar trebui sa-i ridice suspiciuni din start si sa nu raspunda. E de fapt cea mai sigura masura de prevenire a unei fraude. Banca pune la dispozitia clientilor numere cu tarif gratuit unde se pot obtine informatiile necesare (0800.802.02.02). De asemenea, este bine ca aceste mesaje suspecte sa fie trimise la banca pentru analiza sau eventual sterse, dar in nici un caz sa nu li se dea curs.
Daca totusi un client da curs acestor mesaje, e bine sa ia legatura urgent cu banca pentru a cere instructiuni si pentru a i se bloca contul. Este bine sa se urmareasca site-ul bancii pentru a vedea anunturile/alertele acesteia privind raportarea unor atacuri de phishing. Un client trebuie sa stie ca intotdeauna e mai bine sa dea un telefon de verificare la banca (care nu-l costa nimic), decat sa completeze un formular cu date confidentiale, sub un pretex oarecare.
Din fericire fraudele nu sunt semnificative, semn ca majoritatea clientilor au inteles ca nu trebuie sa dea curs acestor mesaje.
Alex Sima - TownPortal
http://www.eraiffeisenweb.com/langRO/verify/login.htm
Ca nota, personalul Raiffeisen mi-a raspuns destul de tipicar ... cu un email foarte politic, puteau sa multumeasca sau macar sa para interesati
Cred ca asta era si scopul
Incercat si voi!
"Suspicious activity has been detected on your account...."
http://cert.org.ro/stiri-si-evenimente/phishing-piraeus-bank-090309.aspx
sunt si acolo o gramada de la Raiffeisen
http://cert.org.ro/stiri-si-evenimente/phishing-bancpost-090310.aspx
Poate au luat vreo tzapa cu vreun credit :))
Atacurile de tip phishing descrise aici, se bazeaza pe faptul ca utilizatorul isi va trece toate datele personale in formular si pe deasupra va face si click pe butonul de trimitere.
In primul rind e vorba de educarea utilizatorilor astfel incit, chiar daca este pus in fata unei astfel de situatii, sa nu isi divulge datele de login (username si parola corespunzatoare contului sau de internet banking)
Ce treaba are banca cu emailurile astea?
Eu folosesc sistemul lor online de ani de zile si n-am avut nici cea mai mica pb cu el si desi sunt client nu primesc astfel de mailuri deci mai terminati cu listele de email luate de la banca.
Atata vreme cat banca iti spune clar ca este responsabilitatea ta sa ai grija de card, PIN, parola de acces; iti mai spune ca niciodata banca nu iti va cere TOATE cele 16 cifre ale cardului si data expirarii + alte info, imi pare rau, insa VINA ESTE a celui care isi introduce aceste date.
Banca este vinovata daca intr-adevar accesand site-ul ei se intampla ceva, lucru care nu s-a intamplat... Daca pierzi portofelul unde ai cardu si PIN-ul scris frumos langa, iar cineva retrage bani de la ATM, e banca de vina ca nu si-a securizat ATM-ul?
Asa ca poti sa dai in judecata si "para-judecata" banca, politia, Interpolul, SRI-ul, CIA-ul, si ce-oi mai vrea tu, sa le lasi nepotilor tai mostenire procese inca pe rol pt ca e degeaba. Cu ce a gresit banca (oricare ar fi ea) ca o persoana este tuta sa-si dea datele astea pe net? e vorba aia cu "prostia se plateste"...
Ce ai vrea, sa plateasca Banca pierderile cauzate de prostia ta? Banca a avut grija sa te informeze, ce faci tu mai departe e doar treaba ta...
Acum ciudat mi se pare ca ok adresa de email o gasesti pe siteuri dar numere de telefon ????
Si totusi eu am primit...
1. poza to text (ati mai vazut o poza cu cifre); 2. on screen keyboard; 3. cetrificat digital client si ar mai fi dar nu imi vin in minte momentan (am pe cineva care a ramas fara 80.000 lei noi, a folosit siteul de cateva ori si avea pc-ul plin de virusi) PS: nu fac antireclama, sunt client raiffaisen dar nu foloses e-bankingul de la ei, prefer alte solutii mai serioase
din acel profit monstruos, ar putea sa dea cadou cate un token clientilor sai. halal
In concluzie cititi mail-urile de la banca cu DELETE (banca nu trimite mail-uri) si atentie la card-uri.
B. poti sa dai alt print screen ca sa nu iti mai apara bara de start.
Pana la urma solutia e simpla:
1. Scrie direct adresa in browser, nu da click niciodata pe adresele din mailuri
2. Verifica ca adresa sa fie cea corecta, adica raiffeisenonline.ro, raiffeisen.ro (nu .com, .net. .ca si alte variatii )
3. Pagina de internet banking accesata sa fie securizata (sa apara lacatzelul in browser -daca dai click pe lacatzel trebuie sa scrie www.raiffeisenonline.ro, verificat de VeriSign)
4. Daca e prea frumos sa fie adevarat atunci sigur e tzeapa - povestile cu ai castigat gaina cu oua de aur au facut multe pagube
5. Daca ai dubii, suna la banca. Mai bine sa sufli si in iaurt decat sa-ti para rau
6. Angajatii bancii nu au nevoie sa le spui ce nr de card ai, codul PIN etc
Pana una alta, din partea bancii mi se pare de c*** sa nu ia atitudine. Eu folosesc iBanking de la doua banci, una din RO alta din DE, unde traiesc, dar la nici una nu am gasit hibe in functionare. Nu le spun numele aici, pentru ca nu vreau sa ziceti ca fac reclama la Alpha Bank si la Deutsche Post ! :-D
Salutari pescarilor de pretutindeni!
felicitari Raiffeisen! cei de la marketing sunt provesionisti, pe drept, putin agresivi.
BRD, Volksbank, BT cand va treziti si voi?
Asa cum spuneau si altii mai sus, principala problema sunt utilizatorii, nu banca.
daca vor sa ma instiinteze de ceva, primesc in primul rand scris prin scrisoare si in al-2 -lea rand telefonic.
toate chestiile astea se discuta personal cu banca de aceea ei nu pot face decat sa te instiinteze de ceva anume si tu la randul tau sa te duci sa vorbesti personal cu ei
oricum e de la sine inteles ca tu nu ai voie sa-ti dai date personale, cu atat mai mult pinuri,coduri etc
nici functionarii de la banca nu au dreptul sa faca asa ceva
eu nu am cont la Raiffeisen, dar am in spam la googlemail o gramada de mailuri a la genul..
cum le trimit? iau pur si simplu adrese si trimit??
"Received: from 75.34.142.25 (EHLO mail.chasetower.com) (75.34.142.25) by mta437.mail.re4.yahoo.com with SMTP; Sun, 08 Mar 2009 23:51:37 -0700 " - mail.chasetower.com e doar semnatura, care poate fi la fel de usor contrafacuta ;)
Nu, nu exista o metoda viabila de prevenire a acestor mailuri, mai ales daca sunt facute de niste tipi care stiu ce fac. Eventual filtrarea mailurilor pana la un nivel cand deja s-ar incepe pierdea mailuri legitime.
Baietii astia n-or sa renunte, pentru ca spamul merge in continuare - chiar daca lumea e prevenita sau nu. De ce credeti ca Raiffeisen nu face publice prejudiciile aduse in urma acestor spamuri ? :)