1: Received: from AMXPRD0410HT003.eurprd04.prod.outlook.com (10.255.56.38) by
2: AMXPRD0410HT001.eurprd04.prod.outlook.com (10.255.56.36) with Microsoft SMTP
3: Server (TLS) id 14.16.164.8; Wed, 4 Jul 2012 09:44:51 +0000
4: Received: from mail67-co1-R.bigfish.com (216.32.180.180) by
5: AMXPRD0410HT003.eurprd04.prod.outlook.com (10.255.56.38) with Microsoft SMTP
6: Server (TLS) id 14.16.164.8; Wed, 4 Jul 2012 09:44:51 +0000
7: Received: from mail67-co1 (localhost [127.0.0.1]) by mail67-co1-R.bigfish.com
8: (Postfix) with ESMTP id A26CE74019D for <ASCUNSA@DOMENIU.com>; Wed, 4 Jul
9: 2012 09:42:47 +0000 (UTC)
10: X-Forefront-Antispam-Report: CIP:69.144.19.134;KIP:(null);UIP:(null);IPV:NLI;H:mail.mehcc.com;RD:host-69-144-19-134.static.bresnan.net;EFVD:NLI
11: X-BigFish: ps147(zzzzdcah1202hzzz31h668h839h940h5d4s953iwa7jk221ln)
12: X-FOSE-spam: This message appears to be spam.
13: X-SpamScore: 147
14: Received-SPF: softfail (mail67-co1: transitioning domain of btrl.ro does not designate 69.144.19.134 as permitted sender) client-ip=69.144.19.134; [email protected]; helo=mail.mehcc.com ;il.mehcc.com ;
15: Received: from mail67-co1 (localhost.localdomain [127.0.0.1]) by mail67-co1
16: (MessageSwitch) id 1341394965188161_11631; Wed, 4 Jul 2012 09:42:45 +0000
17: (UTC)
18: Received: from CO1EHSMHS001.bigfish.com (unknown [10.243.78.235]) by
19: mail67-co1.bigfish.com (Postfix) with ESMTP id 1CC4F540051 for
20: <ASCUNS@DOMENIU.com>; Wed, 4 Jul 2012 09:42:45 +0000 (UTC)
21: Received: from mail.mehcc.com (69.144.19.134) by CO1EHSMHS001.bigfish.com
22: (10.243.66.11) with Microsoft SMTP Server id 14.1.225.23; Wed, 4 Jul 2012
23: 09:42:44 +0000
24: Received: from User ([81.82.239.161]) by mail.mehcc.com with Microsoft
25: SMTPSVC(6.0.3790.3959); Wed, 4 Jul 2012 03:44:44 -0600
26: From: Banca Transilvania <info@btrl.ro>
27: Subject: Mesaj Important
28: Date: Wed, 4 Jul 2012 11:44:45 +0200
29: MIME-Version: 1.0
30: Content-Type: text/html; charset="Windows-1251"
31: Content-Transfer-Encoding: 7bit
32: X-Priority: 3
33: X-MSMail-Priority: Normal
34: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
35: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
36: Message-ID: <MHCCW031D0kWSxlXpsk00003b03@mail.mehcc.com>
37: X-OriginalArrivalTime: 04 Jul 2012 09:44:45.0383 (UTC) FILETIME=[A4EBD570:01CD59C9]
38: To: Undisclosed recipients:;
39: Return-Path: [email protected]
40: X-MS-Exchange-Organization-SCL: 7
41: X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0
42: X-MS-Exchange-Organization-AuthSource:
43: AMXPRD0410HT003.eurprd04.prod.outlook.com
44: X-MS-Exchange-Organization-AuthAs: Anonymous
<http://www.bancatransilvania.ro/images/logo_bt.jpg> Stimate client Banca Transilvania, Departamentul nostru tehnic si-a actualizat recent serviciile noastre online, ca urmare al acestui upgrade va rugam sa confirmati detaiile dvs. de accesare a contului online. Imposibilitatea de a confirma detaliile contului online va duce la suspendarea definitva a acestuia. Click aici <http://host43-76-static.243-95-b.business.telecomitalia.it/www.bancatransilvania.ro/> pentru a fi redirectat pe pagina securizata a Banca Transilvania. Administratia va solicita sa acceptati scuzele noastre pentru neplacerile cauzate si isi exprima recunostinta pentru cooperarea dvs. . © 2006-2012 Banca Transilvania. Toate drepturile rezervate.
Analiza
Dacă ne uităm atenți la cele de mai sus vedem câteva lucruri care pe oricine ar fi trebuit să îl facă puțin suspicios. După cum comunică fiecare bancă, nici un client nu primește e-mail-uri cu „Stimate client…”, ci unul în care îi este specificat numele exact. Eventual „Stimate domnule …”. Prin hot-linking, atacatorii (să le zicem „găinari” de acum încolo) au introdus în corpul mesajului sigla băncii, de la adresa aceasta. Aici este vina băncii, deoarece ar putea pune un filtru anti-hot-linking și astfel ar îngreuna puțin activitatea găinarilor de ocazie. Mereu când accesați un serviciu online, verificați atent adresa URL din bara de adrese a browserului Dumneavoastră. Trebuie să fie neapărat pe domeniul respectivului serviciu. În cazul în care accesați un serviciu online al unei bănci, legislația în vigoare obligă utilizarea unui certificat SSL valid. Acest lucru forțează ca pagina să se încarce prin protocolul HTTPS și nu prin HTTP. Un certificat se emite și semnează pe domeniu, astfel încât un atacator nu va putea realiza o pagina cu un certificat valid decât dacă deja a avut acces la serverele de hosting ale băncii, dar atunci deja trebuie să ne facem alte probleme.Certificate SSL
La accesarea unei pagini, fiecare browser modern sesizează tipul de protocol utilizat și avertizează utilizatorul în acest sens. Iată care este diferența dintre o pagină cu un certificat valid și una fără un certificat: Pagina falsă (atenție la adresa URL și la lipsa certificatului):


Copia
Pagina pe care vă îndrumă găinarii să o vizitați (sperând in creduli), a fost salvată de pe site-ul oficial BT24, și conține comentariul adăugat de Internet Explorer:<!-- saved from url=(0064)https://ib.btrl.ro/BT24/
bfo/channel/web/loginframe.jsp?locale=RO –>Deci măcar găinarii s-au „chinuit” să intre pe site-ul BT și să descarce pagina. Iată cum arată cele două pagini, side-by-side („ghiciți” care este pagina originală și care este cea copiată):
![]() |
![]() |
Metode de prevenire
- Fiți mereu sceptici la orice fel de e-mail care vă solicită date.
- Dacă e-mail-ul pare să vină din partea unei bănci al cărei client(ă) sunteți, verificați să fie scris numele Dumneavoastră complet.
- Când accesați o pagină web dintr-un e-mail, verificați să fie exact adresa către care trebuie să navigați și nu adresa către care vor atacatorii să navigați (aici mai apar și alte posibile probleme: atacuri XSS, redirecționari DNS, dar acestea sunt mai complexe).
- Dacă știți cum, verificați sursa mesajului (header-ul e-mail-ului).
- Încercați o (singură) dată să introduceți date eronate, pentru a verifica validarea formularelor de pe site. Orice site care cere informații trebuie să aiba o validare corespunzătoare.
- Iar dacă tot nu aveți încredere în acel mesaj căutați, cu motorul Dumneavoastră de căutare preferat, site-ul oficial al ofertantului și din secțiunea de contact luați numărul de telefon la care să îi sunați și să le adresați câteva întrebări.
