Clientii e-banking din Romania s-ar putea trezi fara nici un ban in cont

Cercetatorii Laboratoarelor Antispam si Antiphishing BitDefender au identificat in ultimele zile mai multe valuri de spam in cadrul unor campanii nationale de phishing indreptate asupra utilizatorilor de servicii bancare on-line, se arata intr-un studiu remis BankNews.ro.

"Noutatile acestor campanii tin in special de tehnica de phishing, extrem de originala si complexa pentru contextul informatic din Romania. Cum utilizatorii romani de e-banking nu sunt intotdeauna suficient de precauti sau avizati in materie de amenintari informatice, exista riscul sa divulge nu doar niste date personale, precum numarul de mobil, adresa sau CNP-ul, ci si detalii despre contul atasat unui card si PIN-ul aferent. Odata intrati in posesia acestor informatii, infractorii informatici nu ezita sa transfere in propriile conturi salariile sau economiile victimelor", a declarat Andra Miloiu, analist spam al Laboratorului BitDefender.

Continutul mesajelor informeaza utilizatorii serviciilor bancare electronice despre suplimentarea masurilor de securitate, solicitandu-le totodata sa confirme anumite date confidentiale pentru a-si putea accesa conturile on-line.

Astfel, in e-mailul ce vizeaza clientii Raiffeisen Bank, exista doua indicii care pun la indoiala legitimitatea mesajului. Primul dintre ele se afla in domeniul folosit de catre expeditor, de tip. com, desi domeniul bancii este .ro. Cel de-al doilea indiciu se refera la modul impersonal de adresare catre destinatar. De obicei, mesajele emise de institutiile financiare sunt personalizate si nu fac obiectul unei expedieri in masa. In cazul de fata, insa, lipseste nu doar numele celui caruia ii este adresat mesajul, dar si simpla formula introductiva de tip "Stimate client", asa cum se poate remarca si din imaginea de mai jos.

E-mailul destinat clientilor BCR acorda o atentie mai mare elementelor de identificare falsificate. In primul rand, deoarece domeniul folosit pentru expediere provine de aceasta data, aparent, din Romania, mesajul solicitand totodata destinatarilor sa verifice adresa de origine. In al doilea rand, pentru ca mentioneaza in subsol si datele de identificare a societatii bancare. Totusi, se poate cu usurinta observa ca fraza introductiva e identica, fiind modificat doar numele bancii. In plus, nici acest mesaj nu poseda alte elemente de personalizare, fiind si el parte dintr-o campanie de distribuire in masa.

Ambele e-mail-uri au anexata o pagina HTML care, in cazul de fata, este elementul cheie in procesul de phishing.

"S-a renuntat la metoda deja clasica a introducerii unui simplu hyperlink catre un site unde se cer detaliile despre numarul cardului, PIN-ul si data expirarii, preferandu-se anexarea unei pagini HTML care trimite datele catre un server. In acest fel, utilizatorul nu mai acceseaza un site aflat la distanta (caz in care ar putea observa ca domeniul incarcat e diferit), ci trimite datele prin intermediul unui script PHP (referinta catre script este vizibila doar din codul sursa al paginii HTML anexate). Aceasta tehnica, foarte ingenioasa si originala pentru Romania, se dovedeste extrem de prolifica in ocolirea detectiilor oferite de produsele antiphishing care se bazeaza exclusiv pe blacklist - deoarece pagina se incarca local, nu exista un hyperlink efectiv care sa fie comparat cu cele din lista solutiei antiphishing si detectat ca periculos", a declarat George Petre, cercetator in probleme de Securitate Antispam din cadrul Laboratorului BitDefender.

Desi continutul de tip text poate fi vizualizat off-line, pagina HTML preia, de fapt, elementele de identificare grafica (precum antetul sau sigiliul de securizare VeriSign™) direct de pe site-ul bancii.

"Suntem de parere ca la originea acestor campanii de phishing se afla acelasi autor/grup infractional sau ca este vorba de «o noua reteta de succes» vehiculata (sau comercializata deja) pe piata subterana de «instrumente» phishing din Romania. Afirmatia noastra se intemeiaza pe utilizarea aceluiasi element grafic, mai precis, logo-ul VeriSign, incarcat in ambele cazuri de pe portalulul Raiffeisen Online, dupa cum reiese din analiza codului sursa al paginii HTML. Cel mai probabil, autorii au schimbat numai acele elemente care sunt specifice bancii din noua campanie phishing (imaginea din antet, detaliile de formatare a textului etc.), pastrand insa aceleasi referintele catre banca precedenta pentru elemente grafice comune", a declarat Bogdan Botezatu, specialist in comunicare BitDefender.

In primul caz, daca formularul HTML anexat reproduce fidel aspectul general al portalului Raiffeisen Online, exista, totusi, cateva indicii si inadvertente in materie de continut si structura a mesajului care ar trebui sa trezeasca suspiciuni. In primul rand, oscilatii in stilul de adresare, intre persoana a II-a plural si singular: "Va informam ca...", "Te rugam sa...". Apoi, se remarca o serie de constructii calchiate partial dupa limba engleza, precum "verificarea validitatii accesului la cont", "metoda de encriptare" sau formulari la limita dezacordului si a anacolutului, de genul "tipul de encriptare al datelor", "te rugam sa completezi... la contul dumneavoastra", precum si greseli de grafie: "sa completezi fromularul".

In plus, clientilor li se cere sa introduca numarul complet al cardului bancar, in contradictie cu mentiunea din josul paginii, in care acestia sunt informati ca "Raiffeisen Online nu-ti va solicita niciodata toate cifrele din seria cardului tau de debit ONLINE (pe o pagina a website-ului)."

In al doilea caz, pe langa caracteristicile remarcate si in formularul precedent, mai merita semnalata constructia cu topica defectuoasa a celei de a doua fraze si repetitia pleonastica a detaliilor despre "o noua verificare". Totusi, pentru a conferi un grad mai mare de credibilitate, autorul sau autorii formularului adresat clientilor BCR au acordat o atentie sporita stilului, uniformizand elementele de adresare ce prezentau discrepante in pagina precedenta (prin apelul la persoana a II-a plural) si prin eliminarea incongruentelor din mesaj (suprimarea mentiunilor din josul paginii).

Nu in ultimul rand, adresele reale unde sunt trimise datele simuleaza adresele site-urilor celor doua bancii. Dupa cum au relevat cercetatorii Laboratoarelor BitDefender, IP-urile care apar in locul numelor de domeniu nu sunt inregistrate in Romania si, in nici un caz, nu apartin institutiilor bancare.

"Mutatia semnificativa produsa in tehnicile de phishing reflecta o tendinta generala inregistrata la nivel mondial, de diversificare a metodelor si tiparelor utilizate de catre cei implicati in astfel de activitati.

In particular, in cazul Romaniei, ea mai denota un grad sporit de originalitate, adaptabilitate si creativitate infractionala, pe fondul extinderii initiativelor de e-banking si e-commerce si al popularitatii crescute de care se bucura in ultima vreme serviciile e-payment.

Ne asteptam in urmatoarele zile la noi campanii de phishing care sa vizeze si clientii altor banci, cel mai probabil bazate pe acelasi phishing kit.

Le recomandam utilizatorilor de servicii bancare on-line sa nu deschida astfel de mesaje si, mai ales, sa nu furnizeze nici un fel de date confidentiale prin intermediul unor pagini HTML anexate, chiar daca ele sunt aparent emise de respectivele banci. Totodata, in momentul primirii unui astfel de e-mail le sugeram sa contacteze institutia bancara, sa o informeze despre tentativa de phishing si sa solicite detalii despre masurile de protectie adecvate. Nu in ultimul rand, pentru evitarea situatiilor de acest gen, ar trebui sa recurga la instalarea unor solutii de securitate de tip Antispam, Antiphishing si Antivirus pe care sa le actualizeze cat mai frecvent", a declarat Catalin Cosoi, cercetator in cadrul Laboratorului Antispam BitDefender.

Redactia BankNews.ro