PixMe WeBLog

Articole ‘phishing’

Desi la nivel mondial plata prin PayPal sau alti intermediari este cea mai raspandita forma de plata pentru achizitioneaza unor bunuri sau servicii prin internet, in Romania este aproape ignorata. Desi este un sistem foarte sigur, romanii au reticente mari cand vine vorba de carduri si internet.

Ce este PayPal
- Este un serviciu online pentru plata cu cardul. Un sistem independent si de vanzator si de cumparator, neutru, prin care doar trec niste bani. Evident, isi retin niste comisioane, destul de mici as zice eu, dar iti garanteaza siguranta banilor tai si a transferurilor pe care le faci.

Diverse siteuri folosesc sisteme proprii de plata in care cumparatorii trebuie sa aiba incredere. Atunci cand achizitionam anumite bunuri online trebuie sa ne asiguram ca vanzatorul este de incredere si ca nu ramanem fara bani pe card. Firmele mari sunt in general demne de incredere dar cu firmele necunoscute este mai greu.

De aceea a aparut PayPal. Un sistem independent de vanzator, prin care trec banii in mod sigur dinspre cardul cumparatorului spre acesta. Iar cumparatorul nu va trebui sa aiba incredere in vanzator, in ce priveste siguranta banilor de pe card, ci in PayPal.

Metode de Phishing
Ca orice sistem de asemenea proportii si PayPal poate fi clonat in asa fel incat sa va induca in eroare si sa ramaneti fara bani. Daca sunteti totusi putin atenti este foarte greu sa va pierdeti banii.

In primul rand butoanele de plata prin PayPal arata cam asa:

Pe buton poate sa mai scrie Buy sau alte mesaje…

Fereastra in care va trimite butonul arata cam asa:

Va trebui sa va asigurati ca ati ajuns in pagina corecta. Am incercuit linkul care trebuie sa inceapa fix asa: https://www.paypal.com . Nu paypal.XXX.com sau .org sau nimic altceva. Inainte de .com trebuie sa aveti paypal!

De aici inainte banii sunt in siguranta.

O alta modalitate este sa mergeti pe PayPal, sa va faceti cont, sa transferati o parte din banii de pe card pe contul de PayPal si sa ii folositi de acolo, fara a mai autoriza accestul PayPal la cardul vostru. Veti folosi apoi numai banii din contul PayPal…

Am auzit multa lume plangandu-se de faptul ca si-a pierdut diferite conturi: Yahoo, Messenger, Facebook, Twitter etc. In cazul in care aveti un firewall decent, si ala de Windows e bun, sau un antivirus ceva, este foarte greu, daca nu imposibili pentru hackeri sa va fure conturile. Este mult mai usor pentru ei sa faca phishing folosindu-se de troieni.

Ideea e simpla, iti trimit un mail, troianul, in care te anunta ca pentru a avea posibilitatea sa folosesti serviciul respectiv in continuare va trebui sa introduci din nou userul si parola. In cazul atacurilor la banci motivatiile sunt dintre cele mai diverse (i.e. s-a schimbat legea, avem promotii etc.), si iti cer in plus anumite date personale.

In cazul in care nu esti user experimentat si troianul este bine facut vei cadea foarte usor in plasa. De fapt, in ultima vreme traoienii sunt atat de ingeniosi incat si un programator experimentat poate sa-si piarda conturile sau banii intr-un moment de neatentie.

Astazi am primit un traoian extrem de bine facut pe mail, asa cum o sa vedeti mai jos. In pasul 2 al atacului avem partea de phishing, adica siteul care culege informatiile despre contul tau, informatii pe care tu insuti le introduci crezand ca te-ai logat de fapt la serviciul online supus atacului. Si siteul care face phishing trebuie sa arate foarte asemanator cu siteul pe care-l ataca.

Dar sa vedem exemplul de mai jos:

In mail spune ca mi-a fost dezactivat contul de Facebook si, daca doresc reactivarea lui va trebui sa reintroduc userul si parola in pagina presupusa de Login a Facebook. Mailul arata absolut perfect, poate cu exceptia senderului. In general mailurile de la Facebook au ca sender fix “Facebook”… nu inteleg de ce hackerii n-au pus si chestia asta in cod, era foarte simplu dar au preferat sa puna alert@facebook.com . In fine, poate n-au stiut cum .

Am incercuit in poza doua lucruri: Cum arata linkul la care ar trebui sa ajungi teoretic si, in stanga jos, linkul pe care ajungi de fapt. Asadar daca mi-as fi introdus datele acolo le-as fi introdus de fapt fix in baza de date a atacatorilor prin intermediul siteului care face phishing (si intre timp a si fost bannat). Mai interesant la atacul asta este faptul ca siteul respectiv este in fapt o pagina pe un server public. Adica atacatorii nu s-au supus la nici un risc… pentru ca pagina respectiva nu e gazduita de vreo companie de hosting care sa le ceara datele personale sau de vreun server pe care sa-l detina in proprietate, ci de un site public. E atat de simplu incat puteau s-o faca si de la o sala de net…

In fine, astea sunt cele mai usor de suportat forme de phishing. Exista insa cazuri destule de prejudicii financiare grave, aduse unor persoane neatente. Asa ca… va dau un sfat: nu faceti niciodata, pentru nici un motiv ce scrie in mailuri referitor la datele voastre! Daca e vorba de banci puneti mana pe telefon. Daca e vorba de Facebook, Twitter, Yahoo etc. e mai safe sa intrati direct pe siteurile respective si sa vedeti ce zice p-acolo. Asta ca sa nu lasam loc la neplaceri…

Pentru ca, din cate observ, sunt inca multi oameni care pun botul la phishing, am sa revin aici cu un spam pe care l-am primit. Sa-l vedem:

———————————————————————-
ACTUALIZAREA INFORMATIILOR SI DOCUMENTELOR PRIVIND DATELE DE
IDENTIFICARE ALE CLIENTILOR

Bancpost isi anunta clientii ca in prezent deruleaza o campanie
de actualizare si completare a datelor de identificare ale
acestora.

Aceasta actiune este in conformitate cu Legea nr. 656/2002 cu
modificarile si completarile ulterioare si cu Regulamentul Bancii
Nationale a Romaniei nr. 9/2008 privind cunoasterea clientelei in
scopul prevenirii spalarii banilor si finantarii terorismului,
cu modificarile ulterioare.

Termenul legal pana la care actiunea de actualizare si completare
a datelor trebuie finalizata este 15 februarie 2010. Incepand cu
aceasta data, accesul clientilor la conturile proprii va fi
restrictionat pana cand acestia vor da curs solicitarii de
furnizare / actualizare a datelor personale.

Tot ce trebuie sa faceti este simplu click pe linkul de mai jos
pentru actualizare si completarea a datelor :

http://www.bncpstfast.com/actualizare/date/personale/fastbanking/index.js

copyright © Bancpost 2010

numar mesaj securizat #000059846432
——————————————–

Acuma, un om normal ia legea 656/2002 , acest Regulament 9/2008 (care nu stiu de cine e dat). Vede ca p-acolo scrie cam ce scrie in mail, intra pe siteul specificat, introduce datele de pe card dupa care poate sa-si ia adio de la bani. Cam asa functioneaza smecheria.

Cum iti dai seama ca cineva vrea sa-ti fure banii din cont sau de pe card? In primul rand eu nu sunt client Bancpost, dar sa zicem ca as fi fost… primul element care mi-ar fi dat clar de gandit ar fi acela ca Banca imi cere date cu caracter personal, prin e-mail, ceea ce nu ar trebui sa se intample niciodata!

In al doilea rand vad expeditorul mailului: Bancpost | Fastbanking <Bancpostro@postbancro.com> .

Adica Bancpostro@postbancro.com – o aiureala totala. Puteti incerca sa trimiteti un mesaj gol la adresa aia si o sa vedeti ca o sa primiti eroare. Ea nu exista.

Este evident ca o banca are destul capital sa cumprere domeniul cu numele sau si deci email de genul office @ NumeBanca.ro sau relatii-clienti @ NumeBanca.ro … Combinatiile de genul XXXro.com sau altele care apar si in mailul de mai sus sunt… stupide de-a dreptul.

Si apoi vine numele siteului. In speta Bancpost are siteul http://www.bancpost.ro iar in mail apare http://www.bncpstfast.com/… .Iarasi, jenibil pentru un ochi de cunoscator. Asa ceva e evident o facatura dar sa vedem mai departe. Termenul de 15 Februarie 2010 nu apare in niciuna dintre legile citate, mailul nu are antetul bancii si nici nu contine eventuale date de identificare a unor persoane de contact!

In fine, sunt multe si marunte dar ca sa testati foarte simplu astfel de gainarii punte-ti mana pe telefon si sunati la banca inainte sa introduceti date personale pe orice site de pe internet. Altfel puteti nimeri direct in “bratele” celor care fac phishing!

Stiti phishingul de la Raiffeisen? Aia care dadeau mail si ziceau sa le dai datele cardului ca au facut nushce update prin baza de date…

Gata, i-au capturat. Erau vreo 18 insi din Brasov si ciordisera 35 de mii intr-un an jumate. Bine macar c-am scapat de spam :d . Mai interesant e ca tipul de la agentia imobiliara care mi-a vandut mie terenul se afla printre aia 18 ) … sunt curios daca totusi terenul este al meu .

Pana cand aflu exact o sa va pun aici un alt mail, o alta incercare de phishing, de data asta la BRD. Incepe cu sigla BRD si zice asa:

“Buna ziua numele meu este Stoican Elena si sunt manager general al departamentului de relatii clienti de la BRD – Groupe Société Générale.
Va reamintim ca din data de 01.07.2009 BRD – Groupe Société Générale prin ordonanta 409/2009 BRD a lansat programul in vederea updatarii datelor dumneavoastra de contact pentru a mentine relatia client-banca.
Va rugam sa accesati site-ul nostru apasand click AICI si updatati datele dumneavoastra de contact prin accesarea contului dumneavoastra
BRD – Groupe Société Générale va multumeste si va reaminteste ca nu trebuie sa va divulgati informatii precum parola si codul pin nimanui nici macar bancii.

http://www.brd-net.ro/ ”

Cuvantul AICI te duce la brdnet009x10hosting.com, la fel si ultimul link din mail )… Asadar, nu puneti botul daca va mai trebuie banii de prin conturi. Ultima afirmatie e foarte interesanta… nu divulgati informatii dar noi vi le cerem ) .

Am primit un alt mail, de data asta cica de la Raiffeisen. Un nou atac de phishing pe care il pun aici ca deobicei. Sfatul meu este sa nu va dati datele cardului sau contului pe net pentru nici un motiv, decat bineinteles daca vorbiti in prealabil cu un reprezentant al banci respective si va [...]