Făcând curat prin folderul de mesaje SPAM am dat peste un mesaj trimis ieri ca din partea BRD către clienţi. Mesajul anunţa un atac mai vechi, precum şi noul sistem de banking online la care, dacă te-ai înscrie, ai primi şi luna de pe cer.

Ghinion pentru phisher (bunica mea i-ar spune pişolcos), nu avem conturi la BRD.

ATENŢIE! dacă primiţi acelaşi tip de mesaj, adresa la care sunteţi direcţionaţi e falsă!

Sursa mesajului este următoarea:

Return-path: <securitateATbrdnet.ro>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on
office.hangarhosting.net
X-Spam-Level: ***************
X-Spam-Status: Yes, score=15.4 required=5.0 tests=BAYES_60,
FORGED_MUA_OUTLOOK,
FORGED_OUTLOOK_HTML,FORGED_OUTLOOK_TAGS,
HTML_30_40,
HTML_IMAGE_ONLY_28,
HTML_MESSAGE,
HTML_TAG_BALANCE_BODY,
MIME_HTML_ONLY,
TO_CC_NONE autolearn=no
version=3.1.8
X-Spam-Report:
* 0.4 HTML_TAG_BALANCE_BODY BODY: HTML has unbalanced “body” tags
* 0.5 HTML_30_40 BODY: Message is 30% to 40% HTML
* 1.7 HTML_IMAGE_ONLY_28 BODY: HTML: images with 2400-2800 bytes of words
* 1.0 BAYES_60 BODY: Bayesian spam probability is 60 to 80%
* [score: 0.7522] * 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.4 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 3.9 FORGED_OUTLOOK_HTML Outlook can’t send HTML message only
* 3.5 FORGED_OUTLOOK_TAGS Outlook can’t send HTML in this format
* 0.1 TO_CC_NONE No To: or Cc: header
* 3.9 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
Envelope-to: adresa.protejata
Delivery-date: Thu, 05 Apr 2007 05:27:40 +0300
Received: from [64.97.157.179] (helo=n034.sc1.he.tucows.com)
by bravo.hangarhosting.net with esmtp (Exim 4.63)
(envelope-from <securitateATbrdnet.ro>)
id 1HZHhL-0007A8-Dy
for adresa.protejata; Thu, 05 Apr 2007 05:27:40 +0300
Received: from User (172.131.44.74) by n034.sc1.he.tucows.com (7.2.069.1) (authenticated as paul@paul.as)
id 45B9475500E0362D; Thu, 5 Apr 2007 02:25:17 +0000
Message-ID: <45B9475500E0362D@n034.sc1.he.tucows.com> (added by postmaster@bouncemessage.net)
From: “BRD-Groupe Societe Generale”<securitateATbrdnet.ro>
Date: Wed, 4 Apr 2007 19:18:29 -0700
MIME-Version: 1.0
Content-Type: text/html;
charset=”Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
X-Exiscan-SA-Score: 11.2 (+++++++++++)
X-Exiscan-SA-Report: Spam detection software, running on the system “bravo.hangarhosting.net”, has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn’t spam) or label
similar future email. If you have any questions, see
the administrator of that system for details.
Content preview: Stimate Client BRD-Groupe Societe Generale, Joi, 29 martie,
utilizatorii de e-mail au fost tintele unei tentative de frauda de tip phishing,
acestia primind mesaje care ii directionau catre www.brd-net.ro, un website
cu un design identic cu cel al serviciului de internet banking al BRD dar
care era de fapt un site fals. BRD-Groupe Societe Generale a luat imediat
masuri pentru blocarea acestei tentative de furt de date personale, iar securitatea
sistemului informatic care sustine functionarea serviciului de internet banking
BRD-Net nu a fost niciun moment pusa in pericol. […] Content analysis details: (11.2 points, 12.0 required)
pts rule name description
—- ———————- ————————————————–
0.2 HTML_TAG_BALANCE_BODY BODY: HTML has unbalanced “body” tags
-2.6 BAYES_00 BODY: Bayesian spam probability is 0 to 1%
[score: 0.0000] 0.4 HTML_30_40 BODY: Message is 30% to 40% HTML
1.9 HTML_IMAGE_ONLY_28 BODY: HTML: images with 2400-2800 bytes of words
0.0 HTML_MESSAGE BODY: HTML included in message
0.0 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
2.7 FORGED_OUTLOOK_HTML Outlook can’t send HTML message only
2.5 FORGED_OUTLOOK_TAGS Outlook can’t send HTML in this format
2.0 TO_CC_NONE No To: or Cc: header
4.1 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
Subject: [SPAM] *SPAM* BRD- Sistem Nou De Securitate Implementat CITITI URGENT
X-Bogosity: Unsure, tests=bogofilter, spamicity=0.500511, version=1.1.5
X-UID:
X-Spam-Prev-Subject: *SPAM* BRD- Sistem Nou De Securitate Implementat CITITI URGENT
Status: RO
X-Status: RPC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

<html>
<body bgcolor=”#ffffff”>
<style type=”text/css”>
</style>

<body bgcolor=”#ffffff”>
<table width=”600″ cellspacing=”0″ cellpadding=”0″ border=”0″
align=”center”>
<tr valign=”center”>
<td>
<a href=”http://cont-brdro.net/”><IMG
src=”http://www.samusocial.ro/pics/logos/brd.jpg” alt=”brd”
border=”0″ width=”323″ height=”60″></a>
</td>
</tr>
<table width=”497″ cellspacing=”0″ cellpadding=”0″ border=”0″
align=”center”>
<br>

<p class=”style4″><b><font color=”#808080″>Stimate Client BRD-Groupe Societe Generale,</font></b></p>

<p class=”style4″><font face=”Arial” size=”2″>Joi, 29 martie, utilizatorii de e-mail au fost tintele unei tentative de frauda de tip phishing, acestia primind mesaje care ii directionau catre www.brd-net.ro, un website cu un design identic cu cel al serviciului de internet banking al BRD dar care era de fapt un site fals.
BRD-Groupe Societe Generale a luat imediat masuri pentru blocarea acestei tentative de furt de date personale, iar securitatea sistemului informatic care sustine functionarea serviciului de internet banking BRD-Net nu a fost niciun moment pusa in pericol.
<br>
<br>
BRD-Groupe Societe Generale impreuna cu o echipa de specialisti in securitate bancara a dezvoltat o noua platforma de online banking ce face fata la orice fel de atac informatic. Prin acest mesaj va rugam frumos sa va inscrieti pe noua platforma ( ce este lipsita de taxe timp de 12 luni) creata prin simpla logare in cont si prin updatarea datelor.
<br>
Dupa inscriere Brd va garanteaza economiile printr-o polita de asigurare ce acopera pierderi prin frauda bancara de orice tip pana la 50000 euro ce o veti primi prin posta in urmatoare 72 h (gratuit).Aceasta polita ce contine si o asigurare de viata si o reducere de 15 % la orice asigurare auto, bunuri este cadoul nostru de PASTE si garantia unui sistem de succes si in acelasi timp sigur. Ne cerem scuze pentru orice incoveniente create si va multumim pentru intelegere.
</font></p>

<p class=”style4″><b>Pentru a va inscrie</b> <strong>
<a href=”http://cont-brdro.net”>Apasati Aici</a>
si economiile dvs vor fii asigurate</strong></p>

<p class=”style2″><font color=”#808080″><span class=”style2″>Paste Fericit din partea BRD-Groupe Societe Generale </span></font></p>
<p class=”style2″> </p>
</td>
</tr>
</table>
</td>

</tr>
</table>
</body>
</html>

Aşadar:

  • mesajul nu are destinatar explicit; prin urmare deja e o problemă cu mesajul;
  • serverul l-a detectat ca şi posibil spam, şi a raportat ca atare;
  • mesajul vine din reţeaua aol.com, fără nicio legătură cu BRD;
  • link-ul la care mă trimite mesajul este cont-brdro.net, care la o simplă verificare se dovedeşte a fi un fals grosolan.
  • la ora la care scriu mesajul, situl nu e activ, semn că băieţii buni s-au mişcat repejor

Am raportat mesajul la SpamCop.

BRD anunţă şi ei:

BRD – Groupe Société Générale le reaminteşte clienţilor săi că banca nu solicită, în nici o situaţie, informaţii confidenţiale prin e-mail (user/parolă, număr de card, data expirării acestuia, codul PIN). Aceste solicitări reprezintă tentative de furt de date personale/bancare şi nu trebuie să li se dea curs în nicio situaţie.

Clienţii care primesc astfel de mesaje sunt rugaţi să contacteze de urgenţă banca la numerele de telefon 0800 803 803 (număr TelVerde accesibil din reţeaua Romtelecom), *BANCA (accesibil din reţelele Vodafone şi Orange), 021 3026161 (accesibil din toate reţelele, inclusiv din afara României).

Ca recomandări minimale de securitate, v-aş zice aşa:

  • căscaţi bine ochii la fiecare mesaj primit din partea oricărei instituţii;
  • încercaţi să citiţi sursa mesajului (după exemplul de mai sus, nu vă va fi chiar aşa greu), urmărind prin ce servere a trecut mesajul;
  • folosiţi filtre anti-spam eficiente (aici vă poate ajuta şi găzduitorul, cu o filtrare iniţială pe serverul unde vă sunt stocate mesajele email);
  • vizualizaţi mesajul fără a încărca imaginile şi
  • nu faceţi click pe niciun link din email; pe lângă posibilitatea de a cădea în capcana phisher-ului, click-ul dumneavoastră va confirma că adresa este validă şi vă mai poate trimite mesaje
  • creaţi-vă un cont la SpamCop şi raportaţi orice mesaj suspect;
  • sunaţi la banca dumneavoastră şi cereţi detalii; nu vă zgârciţi la trei lei cât face convorbirea.

Şi nu uitaţi: când e vorba de internet şi internet-banking, paranoia e un lucru bun!