Atac Phishing mascat in Banca Transilvania

Astăzi am primit un e-mail pe care Exchange l-a catalogat direct ca fiind „ceva putred” si l-a trimis direct in Junk. După cum știți, Exchange, pe Office 365 beneficiază de avantajele ForeFront, soluția anti-virus a Microsoft-ului, destinată mediului enterprise.

Autor Razvan Burz

04 Jul 2012

Astăzi am primit un e-mail pe care Exchange l-a catalogat direct ca fiind „ceva putred” si l-a trimis direct in Junk. După cum știți, Exchange, pe Office 365 beneficiază de avantajele ForeFront, soluția anti-virus a Microsoft-ului, destinată mediului enterprise. Datele e-mail-ului sunt următoarele (am modificat adresa de e-mail la care a fost trimisa):

Received: from AMXPRD0410HT003.eurprd04.prod.outlook.com (10.255.56.38) by

AMXPRD0410HT001.eurprd04.prod.outlook.com (10.255.56.36) with Microsoft SMTP

Server (TLS) id 14.16.164.8; Wed, 4 Jul 2012 09:44:51 +0000

Received: from mail67-co1-R.bigfish.com (216.32.180.180) by

AMXPRD0410HT003.eurprd04.prod.outlook.com (10.255.56.38) with Microsoft SMTP

Server (TLS) id 14.16.164.8; Wed, 4 Jul 2012 09:44:51 +0000

Received: from mail67-co1 (localhost [127.0.0.1]) by mail67-co1-R.bigfish.com

(Postfix) with ESMTP id A26CE74019D for <ASCUNSA@DOMENIU.com>; Wed, 4 Jul

2012 09:42:47 +0000 (UTC)

X-Forefront-Antispam-Report: CIP:69.144.19.134;KIP:(null);UIP:(null);IPV:NLI;H:mail.mehcc.com;RD:host-69-144-19-134.static.bresnan.net;EFVD:NLI

X-BigFish: ps147(zzzzdcah1202hzzz31h668h839h940h5d4s953iwa7jk221ln)

X-FOSE-spam: This message appears to be spam.

X-SpamScore: 147

Received-SPF: softfail (mail67-co1: transitioning domain of btrl.ro does not designate 69.144.19.134 as permitted sender) client-ip=69.144.19.134; [email protected]; helo=mail.mehcc.com ;il.mehcc.com ;

Received: from mail67-co1 (localhost.localdomain [127.0.0.1]) by mail67-co1

(MessageSwitch) id 1341394965188161_11631; Wed, 4 Jul 2012 09:42:45 +0000

(UTC)

Received: from CO1EHSMHS001.bigfish.com (unknown [10.243.78.235]) by

mail67-co1.bigfish.com (Postfix) with ESMTP id 1CC4F540051 for

<ASCUNS@DOMENIU.com>; Wed, 4 Jul 2012 09:42:45 +0000 (UTC)

Received: from mail.mehcc.com (69.144.19.134) by CO1EHSMHS001.bigfish.com

(10.243.66.11) with Microsoft SMTP Server id 14.1.225.23; Wed, 4 Jul 2012

09:42:44 +0000

Received: from User ([81.82.239.161]) by mail.mehcc.com with Microsoft

SMTPSVC(6.0.3790.3959); Wed, 4 Jul 2012 03:44:44 -0600

From: Banca Transilvania <info@btrl.ro>

Subject: Mesaj Important

Date: Wed, 4 Jul 2012 11:44:45 +0200

MIME-Version: 1.0

Content-Type: text/html; charset="Windows-1251"

Content-Transfer-Encoding: 7bit

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Message-ID: <MHCCW031D0kWSxlXpsk00003b03@mail.mehcc.com>

X-OriginalArrivalTime: 04 Jul 2012 09:44:45.0383 (UTC) FILETIME=[A4EBD570:01CD59C9]

To: Undisclosed recipients:;

Return-Path: [email protected]

X-MS-Exchange-Organization-SCL: 7

X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0

X-MS-Exchange-Organization-AuthSource:

AMXPRD0410HT003.eurprd04.prod.outlook.com

X-MS-Exchange-Organization-AuthAs: Anonymous

Subiect: Mesaj important Continutul e-mail-ului:

<http://www.bancatransilvania.ro/images/logo_bt.jpg> Stimate client Banca Transilvania, Departamentul nostru tehnic si-a actualizat recent serviciile noastre online, ca urmare al acestui upgrade va rugam sa confirmati detaiile dvs. de accesare a contului online. Imposibilitatea de a confirma detaliile contului online va duce la suspendarea definitva a acestuia. Click aici <http://host43-76-static.243-95-b.business.telecomitalia.it/www.bancatransilvania.ro/> pentru a fi redirectat pe pagina securizata a Banca Transilvania. Administratia va solicita sa acceptati scuzele noastre pentru neplacerile cauzate si isi exprima recunostinta pentru cooperarea dvs. . © 2006-2012 Banca Transilvania. Toate drepturile rezervate.

Analiza

Dacă ne uităm atenți la cele de mai sus vedem câteva lucruri care pe oricine ar fi trebuit să îl facă puțin suspicios. După cum comunică fiecare bancă, nici un client nu primește e-mail-uri cu „Stimate client…”, ci unul în care îi este specificat numele exact. Eventual „Stimate domnule …”. Prin hot-linking, atacatorii (să le zicem „găinari” de acum încolo) au introdus în corpul mesajului sigla băncii, de la adresa aceasta. Aici este vina băncii, deoarece ar putea pune un filtru anti-hot-linking și astfel ar îngreuna puțin activitatea găinarilor de ocazie. Mereu când accesați un serviciu online, verificați atent adresa URL din bara de adrese a browserului Dumneavoastră. Trebuie să fie neapărat pe domeniul respectivului serviciu. În cazul în care accesați un serviciu online al unei bănci, legislația în vigoare obligă utilizarea unui certificat SSL valid. Acest lucru forțează ca pagina să se încarce prin protocolul HTTPS și nu prin HTTP. Un certificat se emite și semnează pe domeniu, astfel încât un atacator nu va putea realiza o pagina cu un certificat valid decât dacă deja a avut acces la serverele de hosting ale băncii, dar atunci deja trebuie să ne facem alte probleme.

Certificate SSL

La accesarea unei pagini, fiecare browser modern sesizează tipul de protocol utilizat și avertizează utilizatorul în acest sens. Iată care este diferența dintre o pagină cu un certificat valid și una fără un certificat: Pagina falsă (atenție la adresa URL și la lipsa certificatului):

Pagina reală

Pagina originală. Certificatul poate fi verificat

Copia

Pagina pe care vă îndrumă găinarii să o vizitați (sperând in creduli), a fost salvată de pe site-ul oficial BT24, și conține comentariul adăugat de Internet Explorer:

<!-- saved from url=(0064)https://ib.btrl.ro/BT24/

bfo/channel/web/loginframe.jsp?locale=RO –>

Deci măcar găinarii s-au „chinuit” să intre pe site-ul BT și să descarce pagina. Iată cum arată cele două pagini, side-by-side („ghiciți” care este pagina originală și care este cea copiată):

Puțin amuzat și mai mult iritat de găinăriile de acest gen, am vrut să le intru în joc. Deoarece nu sunt client al Băncii Transilvania (asta este un alt semnal de alarmă), am generat eu ceva șiruri de caractere care ar fi trebuit să semene cu ceea ce cerea formularul de pe pagina copiată. După ce am introdus datele, fără să se facă nici o validare prealabilă, am fost întâmpinat de o pagină cu un .GIF animat care îmi comunica (chipurile) că „Se face conexiunea cu serverul”, unde totul se oprea.

Metode de prevenire

Fiți mereu sceptici la orice fel de e-mail care vă solicită date.
Dacă e-mail-ul pare să vină din partea unei bănci al cărei client(ă) sunteți, verificați să fie scris numele Dumneavoastră complet.
Când accesați o pagină web dintr-un e-mail, verificați să fie exact adresa către care trebuie să navigați și nu adresa către care vor atacatorii să navigați (aici mai apar și alte posibile probleme: atacuri XSS, redirecționari DNS, dar acestea sunt mai complexe).
Dacă știți cum, verificați sursa mesajului (header-ul e-mail-ului).
Încercați o (singură) dată să introduceți date eronate, pentru a verifica validarea formularelor de pe site. Orice site care cere informații trebuie să aiba o validare corespunzătoare.
Iar dacă tot nu aveți încredere în acel mesaj căutați, cu motorul Dumneavoastră de căutare preferat, site-ul oficial al ofertantului și din secțiunea de contact luați numărul de telefon la care să îi sunați și să le adresați câteva întrebări.

Spor la succes,