Return-Path: <vocalis[at]brd-net.ro>
Authentication-Results: tango.hangarhosting.net.(none) from=vocalis[at]brd-net.ro; domainkeys=neutral
Received: from sv-pia-rbg5.local.pia-motors.de [83.236.181.226] by
 tango.hangarhosting.net (Axigen) with ESMTP id 390EE3;
 Fri, 18 Dec 2009 06:23:51 +0200
Received: from User ([79.117.95.10])
 by sv-pia-rbg5.local.pia-motors.de with Microsoft SMTPSVC(6.0.3790.3959);
	 Fri, 18 Dec 2009 05:21:44 +0100
Reply-To: <no-reply[at]brd-net.ro>
From: "BRD-NET"<vocalis[at]brd-net.ro>
Subject: Notificare noua privind contul dumneavoastra BRD-NET
Date: Fri, 18 Dec 2009 06:21:25 +0200
MIME-Version: 1.0
Content-Type: text/html;	charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: vocalis[at]brd-net.ro
Message-ID: <SV-PIA-RBG5imGzZFlF0000101e@sv-pia-rbg5.local.pia-motors.de>
X-OriginalArrivalTime: 18 Dec 2009 04:21:44.0126 (UTC) FILETIME=[9B08F5E0:01CA7F99]

Aşadar, din Constanţa, România! Cam cât de prost trebuie să fii să iniţiezi phishing de la calculatorul de acasă ?
Sunt curios dacă şi Poliţia o să se mişte suficient de repede să-l prindă.

Mai are rost să vă spun că nici măcar măcar nu am cont la BRD ?

Una peste alta, mesajele de phishing având ca ţintă Raiffeisen Bank s-au înmulţit extrem de mult în această perioadă, aşa că vă prezint un clip de 3 minute realizat de Commoncraft.

Să nu ziceţi că nu v-am spus!

Notă: toate drepturile asupra acestui clip revin autorilor.

Am primit ieri două mesaje aparent de la Reiffeisen Bank, mesaje ce mă trimiteau la adrese unde ar fi trebuit să-mi introduc datele de acces. Primul a sosit la 12.52, al doilea la 14.40.

Azi la 10.50, la 20 de ore de la primul mesaj, site-urile erau încă online (e drept, sunt raportate ca site-uri de phishing, dar funcţionează!)

Ce face Raiffeisen pentru asta ?

• îţi trânteşte pe prima pagină ditamai bannerele, de nu mai vezi nimic
• la pagina de contact îţi oferă o grămadă de opţiuni, mai puţin aia de sesizare phishing
• pun un link infim în colţ, numai bun de omis dacă nu le eşti client şi vrei să faci o faptă bună;
• îi doare undeva că site-urile de phishing sunt bine-mersi online

Ce ar trebui să facă Raiffeisen;

• să dea dracului jos bannerele publicitare şi să facă mai vizibilă pagina de phishing awareness;
• să investească ~800 EURO într-un certificat EV; alţii au făcut-o şi posibilitatea de fraudă scade considerabil
  (dacă vrea să comenteaze vreun agarici din Raiffeisen că e greu de instalat sau că nu sunt bani, să se abţină)
• să ia legătura cu administratorii reţelelor ce găzduiesc site-urile de phishing şi să publice status-ul din 10 în 10 minute!
  nu există NU SE POATE ÎNCHIDE un site de phishing;

Ce trebuie să facă clienţii ?

• domnilor, dacă nu vreţi nicicum să vă mutaţi la alt furnizor, apoi cel puţin nu fiţi naivi;
  dacă primiţi vreun mesaj ce pretinde a fi de la Raiffeisen, sunaţi-i imediat şi întrebaţi-i ce şi cum!

Site-urile de phishing sunt astea:

http://www.google.ro/search?hl=ro&q=phishing+tutorial

Sunt curios, până la urmă o fi găsit puștuil ăla manual de phishing ?

• BCR – www.bcr.ro
  deşi există deja o ştire publicată referitoare la atacul de azi, căutarea nu returnează niciun rezultat;
• CEC – www.cec.ro
  căutarea nu returnează niciun rezultat
• Piraeus Bank – www.piraeus.ro
  căutarea nu returnează niciun rezultat
• MKB Romexterra Bank – www.romexterra.ro
  căutarea nu returnează niciun rezultat
• Bancpost – www.bancpost.ro
  căutarea nu returnează niciun rezultat
• Unicredit Ţiriac Bank – www.unicredit-tiriac.ro
  căutarea nu returnează niciun rezultat
• Raiffeisen Bank – www.raiffeisen.ro
  căutarea nu returnează niciun rezultat

• ING Bank – www.ing.ro

  căutarea returnează două rezultate

• ABN AMRO – www.abnamro.ro
  nu are formular de căutare (sau  nu e accesibil din prima pagină)
• Alpha Bank – www.abnamro.ro
  nu are formular de căutare (sau  nu e accesibil din prima pagină)

• Banca Comercială Carpatica  – www.carpatica.ro

  căutarea returnează patru rezultate

• OTP Bank – www.otpbank.ro
  “Termenul căutat de dumneavoastra nu a fost regăsit în nici un document”
• Banca Română de Dezvoltare – www.brd.ro
  căutarea a returnat trei rezultate; din păcate sunt doar ştiri, nu explicaţii; în plus, link-urile sunt dezastruoase
• Banca Transilvania – www.bancatransilvania.ro
  căutarea nu returnează niciun rezultat
• GarantiBank – www.garantibank.ro
  nu are formular de căutare
  totuşi, mi-a plăcut link-ul spre paginile de securitate, foarte vizibil pe prima pagină
• Volksbank Romania – www.volksbank.ro
  nu are formular de căutare

Dacă vreţi, continuaţi cu restul băncilor netestate aici.
Cât despre concluzii, vă las pe voi să le trageţi.

Așadar, e vorba de un mesaj cam așa:

‘Noi masuri de securitate introduse de BCR. Mesajul poate fi vazut in fisierul atasat. Pentru protectia dumneavoastra verificati adresa de la care a fost trimis email-ul sa coincida cu: securitate@bcr.ro’

Mesajul atasat e o pagină html cu toate cele (ca să fie mai greu de urmărit) și care cere datele de card.

Dacă primiți așa ceva, nu dați curs invitației!

Return-path:
Envelope-to: billing@hangarhosting.net
Delivery-date: Sun, 21 Oct 2007 17:43:31 +0300
Received: from nlpi015.sbcis.sbc.com ([207.115.36.44]
helo=nlpi015.prodigy.net) by lima.hangarhosting.net with esmtp (Exim 4.68)
(envelope-from ) id 1Ijc1S-0008Cv-FN
for billing@hangarhosting.net; Sun, 21 Oct 2007 17:43:31 +0300
X-ORBL: [76.248.48.6]
Received: from User (adsl-76-248-48-6.dsl.irvnca.sbcglobal.net
[76.248.48.6]) by nlpi015.prodigy.net (8.13.8 out.dk.spool/8.13.8) with
SMTP id l9LEfaAD019135; Sun, 21 Oct 2007 09:41:37 -0500
Message-Id: <200710211441.l9LEfaAD019135@nlpi015.prodigy.net>
From: “Raiffeisen Online Banking”
Date: Sun, 21 Oct 2007 07:41:06 -0700
MIME-Version: 1.0
Content-Type: text/html; charset=”Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Spam-Status: Yes, score=8.8
X-Spam-Score: 88
X-Spam-Bar: ++++++++
X-Spam-Report: Spam detection software, running on the system
“lima.hangarhosting.net”, has identified this incoming email as possible
spam. The original message has been attached to this so you can view it
(if it isn’t spam) or label similar future email. If you have any
questions, see the administrator of that system for details. Content
preview: [...] Content analysis details: (8.8 points, 5.0 required) pts
rule name description —- ———————-
————————————————– 1.3 MISSING_HEADERS
Missing To: header 0.4 URI_HEX URI: URI hostname has long
hexadecimal sequence 0.0 HTML_MESSAGE BODY: HTML included in
message 1.8 HTML_IMAGE_ONLY_08 BODY: HTML: images with 400-800 bytes of
words 0.0 BAYES_50 BODY: Bayesian spam probability is 40 to
60% [score: 0.5000] 1.5 MIME_HTML_ONLY BODY: Message only has
text/html MIME parts 0.0 FORGED_OUTLOOK_TAGS Outlook can’t send HTML in
this format 0.8 MSOE_MID_WRONG_CASE MSOE_MID_WRONG_CASE 0.0
TVD_PH_SUBJ_META TVD_PH_SUBJ_META 0.0 FORGED_OUTLOOK_HTML Outlook
can’t send HTML message only 3.1 FORGED_MUA_OUTLOOK Forged mail
pretending to be from MS Outlook
X-Spam-Flag: YES
Subject: * SPAM ** Raiffeisen Online Banking – Verificare Cont
….

Am incercat sa sun la Raiffeisen să le atrag atenţia, dar dupa cam o jumatate de ora am ajuns sa ma gandesc serios la zicerea românească despre facerea de bine şi mamă.

Dacă faci click pe imaginea primită pe email, ajungi mai întâi pe o pagină de pe un server
…..150217.vserver.de/manual/raiffeisen.online.ro/login.htm, iar apoi eşti redirectat la www.raiffeisenonline.ro.raiffeisenbanking.com.p12.hostingprod.com.

ATENŢIE!
Nu introduceţi nicio informaţie valoroasă în formulare necunoscute sau suspecte!

Ghinion pentru phisher (bunica mea i-ar spune pişolcos), nu avem conturi la BRD.

ATENŢIE! dacă primiţi acelaşi tip de mesaj, adresa la care sunteţi direcţionaţi e falsă!

Sursa mesajului este următoarea:

Return-path: <securitateATbrdnet.ro>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on
office.hangarhosting.net
X-Spam-Level: ***************
X-Spam-Status: Yes, score=15.4 required=5.0 tests=BAYES_60,
FORGED_MUA_OUTLOOK,
FORGED_OUTLOOK_HTML,FORGED_OUTLOOK_TAGS,
HTML_30_40,
HTML_IMAGE_ONLY_28,
HTML_MESSAGE,
HTML_TAG_BALANCE_BODY,
MIME_HTML_ONLY,
TO_CC_NONE autolearn=no
version=3.1.8
X-Spam-Report:
* 0.4 HTML_TAG_BALANCE_BODY BODY: HTML has unbalanced “body” tags
* 0.5 HTML_30_40 BODY: Message is 30% to 40% HTML
* 1.7 HTML_IMAGE_ONLY_28 BODY: HTML: images with 2400-2800 bytes of words
* 1.0 BAYES_60 BODY: Bayesian spam probability is 60 to 80%
* [score: 0.7522]
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.4 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 3.9 FORGED_OUTLOOK_HTML Outlook can’t send HTML message only
* 3.5 FORGED_OUTLOOK_TAGS Outlook can’t send HTML in this format
* 0.1 TO_CC_NONE No To: or Cc: header
* 3.9 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
Envelope-to: adresa.protejata
Delivery-date: Thu, 05 Apr 2007 05:27:40 +0300
Received: from [64.97.157.179] (helo=n034.sc1.he.tucows.com)
by bravo.hangarhosting.net with esmtp (Exim 4.63)
(envelope-from <securitateATbrdnet.ro>)
id 1HZHhL-0007A8-Dy
for adresa.protejata; Thu, 05 Apr 2007 05:27:40 +0300
Received: from User (172.131.44.74) by n034.sc1.he.tucows.com (7.2.069.1) (authenticated as paul@paul.as)
id 45B9475500E0362D; Thu, 5 Apr 2007 02:25:17 +0000
Message-ID: <45B9475500E0362D@n034.sc1.he.tucows.com> (added by postmaster@bouncemessage.net)
From: “BRD-Groupe Societe Generale”<securitateATbrdnet.ro>
Date: Wed, 4 Apr 2007 19:18:29 -0700
MIME-Version: 1.0
Content-Type: text/html;
charset=”Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
X-Exiscan-SA-Score: 11.2 (+++++++++++)
X-Exiscan-SA-Report: Spam detection software, running on the system “bravo.hangarhosting.net”, has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn’t spam) or label
similar future email. If you have any questions, see
the administrator of that system for details.
Content preview: Stimate Client BRD-Groupe Societe Generale, Joi, 29 martie,
utilizatorii de e-mail au fost tintele unei tentative de frauda de tip phishing,
acestia primind mesaje care ii directionau catre www.brd-net.ro, un website
cu un design identic cu cel al serviciului de internet banking al BRD dar
care era de fapt un site fals. BRD-Groupe Societe Generale a luat imediat
masuri pentru blocarea acestei tentative de furt de date personale, iar securitatea
sistemului informatic care sustine functionarea serviciului de internet banking
BRD-Net nu a fost niciun moment pusa in pericol. [...]
Content analysis details: (11.2 points, 12.0 required)
pts rule name description
—- ———————- ————————————————–
0.2 HTML_TAG_BALANCE_BODY BODY: HTML has unbalanced “body” tags
-2.6 BAYES_00 BODY: Bayesian spam probability is 0 to 1%
[score: 0.0000]
0.4 HTML_30_40 BODY: Message is 30% to 40% HTML
1.9 HTML_IMAGE_ONLY_28 BODY: HTML: images with 2400-2800 bytes of words
0.0 HTML_MESSAGE BODY: HTML included in message
0.0 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
2.7 FORGED_OUTLOOK_HTML Outlook can’t send HTML message only
2.5 FORGED_OUTLOOK_TAGS Outlook can’t send HTML in this format
2.0 TO_CC_NONE No To: or Cc: header
4.1 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
Subject: [SPAM] *SPAM* BRD- Sistem Nou De Securitate Implementat CITITI URGENT
X-Bogosity: Unsure, tests=bogofilter, spamicity=0.500511, version=1.1.5
X-UID:
X-Spam-Prev-Subject: *SPAM* BRD- Sistem Nou De Securitate Implementat CITITI URGENT
Status: RO
X-Status: RPC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

<html>
<body bgcolor=”#ffffff”>
<style type=”text/css”>
</style>

<body bgcolor=”#ffffff”>
<table width=”600″ cellspacing=”0″ cellpadding=”0″ border=”0″
align=”center”>
<tr valign=”center”>
<td>
<a href=”http://cont-brdro.net/”><IMG
src=”http://www.samusocial.ro/pics/logos/brd.jpg” alt=”brd”
border=”0″ width=”323″ height=”60″></a>
</td>
</tr>
<table width=”497″ cellspacing=”0″ cellpadding=”0″ border=”0″
align=”center”>
<br>

<p class=”style4″><b><font color=”#808080″>Stimate Client BRD-Groupe Societe Generale,</font></b></p>

<p class=”style4″><font face=”Arial” size=”2″>Joi, 29 martie, utilizatorii de e-mail au fost tintele unei tentative de frauda de tip phishing, acestia primind mesaje care ii directionau catre www.brd-net.ro, un website cu un design identic cu cel al serviciului de internet banking al BRD dar care era de fapt un site fals.
BRD-Groupe Societe Generale a luat imediat masuri pentru blocarea acestei tentative de furt de date personale, iar securitatea sistemului informatic care sustine functionarea serviciului de internet banking BRD-Net nu a fost niciun moment pusa in pericol.
<br>
<br>
BRD-Groupe Societe Generale impreuna cu o echipa de specialisti in securitate bancara a dezvoltat o noua platforma de online banking ce face fata la orice fel de atac informatic. Prin acest mesaj va rugam frumos sa va inscrieti pe noua platforma ( ce este lipsita de taxe timp de 12 luni) creata prin simpla logare in cont si prin updatarea datelor.
<br>
Dupa inscriere Brd va garanteaza economiile printr-o polita de asigurare ce acopera pierderi prin frauda bancara de orice tip pana la 50000 euro ce o veti primi prin posta in urmatoare 72 h (gratuit).Aceasta polita ce contine si o asigurare de viata si o reducere de 15 % la orice asigurare auto, bunuri este cadoul nostru de PASTE si garantia unui sistem de succes si in acelasi timp sigur. Ne cerem scuze pentru orice incoveniente create si va multumim pentru intelegere.
</font></p>

<p class=”style4″><b>Pentru a va inscrie</b> <strong>
<a href=”http://cont-brdro.net”>Apasati Aici</a>
si economiile dvs vor fii asigurate</strong></p>

<p class=”style2″><font color=”#808080″><span class=”style2″>Paste Fericit din partea BRD-Groupe Societe Generale </span></font></p>
<p class=”style2″> </p>
</td>
</tr>
</table>
</td>

</tr>
</table>
</body>
</html>

Aşadar:

• mesajul nu are destinatar explicit; prin urmare deja e o problemă cu mesajul;
• serverul l-a detectat ca şi posibil spam, şi a raportat ca atare;
• mesajul vine din reţeaua aol.com, fără nicio legătură cu BRD;
• link-ul la care mă trimite mesajul este cont-brdro.net, care la o simplă verificare se dovedeşte a fi un fals grosolan.
• la ora la care scriu mesajul, situl nu e activ, semn că băieţii buni s-au mişcat repejor

Am raportat mesajul la SpamCop.

BRD anunţă şi ei:

BRD – Groupe Société Générale le reaminteşte clienţilor săi că banca nu solicită, în nici o situaţie, informaţii confidenţiale prin e-mail (user/parolă, număr de card, data expirării acestuia, codul PIN). Aceste solicitări reprezintă tentative de furt de date personale/bancare şi nu trebuie să li se dea curs în nicio situaţie.

Clienţii care primesc astfel de mesaje sunt rugaţi să contacteze de urgenţă banca la numerele de telefon 0800 803 803 (număr TelVerde accesibil din reţeaua Romtelecom), *BANCA (accesibil din reţelele Vodafone şi Orange), 021 3026161 (accesibil din toate reţelele, inclusiv din afara României).

Ca recomandări minimale de securitate, v-aş zice aşa:

• căscaţi bine ochii la fiecare mesaj primit din partea oricărei instituţii;
• încercaţi să citiţi sursa mesajului (după exemplul de mai sus, nu vă va fi chiar aşa greu), urmărind prin ce servere a trecut mesajul;
• folosiţi filtre anti-spam eficiente (aici vă poate ajuta şi găzduitorul, cu o filtrare iniţială pe serverul unde vă sunt stocate mesajele email);
• vizualizaţi mesajul fără a încărca imaginile şi
• nu faceţi click pe niciun link din email; pe lângă posibilitatea de a cădea în capcana phisher-ului, click-ul dumneavoastră va confirma că adresa este validă şi vă mai poate trimite mesaje
• creaţi-vă un cont la SpamCop şi raportaţi orice mesaj suspect;
• sunaţi la banca dumneavoastră şi cereţi detalii; nu vă zgârciţi la trei lei cât face convorbirea.

Şi nu uitaţi: când e vorba de internet şi internet-banking, paranoia e un lucru bun!

IMPORTANT

Va aducem la cunostinta faptul ca in data de 21.03.2007 la un ATM BRD
a fost identificat un dispozitiv de copiere a cardurilor.

Asa cum se poate observa si din pozele atasate, dispozitivul era
format dintr-un card reader, folosit pentru copierea benzii magnetice
si o tastatura falsa pentru inregistrarea codului PIN.

Avand in vedere cele constatate va rugam sa luati urmatoarele masuri:

- acordarea unei atentii sporite in ceea ce priveste eventuale
modificari ale aspectului ATM-ului, precum si urme ale atasarii unor
dispozitive suspecte ;

- in cazul in care constatati existenta unor indicii care sa sugereze
faptul ca la un ATM este sau a fost instalat un dispozitiv de acest
gen sa anuntati de indata DOCB Helpdesk (email: helpdesk_atmATbrd.ro)
si DOCB Compartiment Risc-Fraude( email: fraude.docbATbrd.ro)