atac la banca transilvania

Luni, 2 Ianuarie 2012 | 11 Comentarii

Dupa ce intr-un post anterior semnalam ca in libertate se afla multe personaje cu prea mult timp liber, iata ca prostul cu clona loveste din nou (probabil ca e vorba despre altii, metoda de operare fiind insa identica). Acum tinta este Banca Transilvania, mai precis clientii bancii care utilizeaza BT24. Chiar in aceasta dimineata am primit un E-mail care parea ca vine de la support@bt24.ro, deci demn de toata increderea:

mail phishing bt 1

Numai ca examinand header-ele mesajului, constatam ca acesta a fost trimis folosind un server SMTP open, din Noua Zeelanda: mta01.xtra.co.nz [210.54.141.254]. Adresa IP a computerului de pe care a fost trimis mesajul ruleaza un server web Microsoft IIS care a fost probabil compromis de “hacker”, fara stirea administratorului de sistem, daca acesta exista:

mail phishing bt 5

Mesajul de timp phishing are in el si ceva referinte la Banca Nationala a Romaniei, Regulamentul nr. 9 din 2008, un pic de terorism, spalare de bani si, cel mai important, e semnat de membru/director BT, domnul Robert C Rekkers. Nu-i asa ca asteptati un mesaj de la el, acum de sarbatori ?

mail phising bt 2

In continuare lucrurile sunt simple. Daca dai click pe linkul din mesaj, ajungi la adresa http://c-brava.de/bt24/BancaTransilvania.htm care arata fix ca pagina bancii:

mail phishing bt 4

Dupa ce introduci datele tale de logare in campurile corespunzatoare (date care sunt trimise catre “hacker”), esti redirectat spre pagina http://c-brava.de/bt24/certrqbi.asp.htm care arata asa:

mail phishing bt 3

Asta este punctul in care, daca nu te-ai prins de schema, poti sa ramai intr-adevar fara bani. In acest ecran esti invitat sa introduci datele pentru generarea certificatului digital, utilizat pentru accesarea sistemului BT24. Cu aceste date “hacker-ul” isi va genera certificatul digital pe propriul computer si, cu datele de log-are pe care i le-ai furnizat pe prima pagina, va avea acces la sistemul BT24.

Evident ca va putea face o multime de operatiuni, inclusiv sa transfere bani in alte conturi sau sa plateasca facturi de utilitati, de exemplu.

Cum ne ferim de asemenea capcane ? Nu dam click pe nici un link din nici un mesaj E-mail. Daca vrem sa accesam pagina BT24, o facem direct din pagina bancii sau o introducem adresa manual de fiecare data – www.bt24.ro. Orice abatere de la aceasta regula simpla ne poate transforma in victime. Mai nou, BT24 pune la dispozitie si log-area cu Token, sistem care nu poate fi accesat de “hacker-i”, parola schimbandu-se regulat, la intervale mici de timp (de regula la 30 de secunde), nepermitand atacatorilor sa utilizeze parolele colectate cu pagini clonate.

O problema de securitate majora a sistemului de generare a certificatului digital la Banca Transilvania este ca sunt permise un numar nelimitat de incercari, de pe acelasi IP. Acest lucru permite “hacker-ilor” sa incerce oricate combinatii doresc. Ar trebui implementata o metoda de blocare a accesului la pagina pentru un anume IP dupa un numar de incercari esuate. Sigur, personal nu ma astept la nu stiu ce schimbari spectaculoase, mai ales ca, vacanta fiind, pe 1 ianuarie 2012 sistemul BT24 era si el in vacanta.

11 comentarii la “atac la banca transilvania

  1. vlad-mihai a comentat:

    Asta era si el roman? dar am o mica nelamurire de unde stia ca aveti cont bancar la BT si cum v-a gasit datele de contact?

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
    1. omrau.ro Post author a comentat:

      Pai cred ca sunt tot romani de-ai nostri. Toate adresele mele de E-mail sunt de mult timp pe toate listele de Spam pe care le vand diversi cretini pe Internet. Pentru 150 de RON oricine poate cumpara cateva milioane (sau chiar zeci de milioane) de adrese de E-mail. Nu au ajuns inca sa target-eze clientii dupa bancile la care au acestia cont – e complicat si trebuie ceva minte si efort. Nu e cazul la ei !

      Iti place comentariul? Thumb up 0 Thumb down 0

  2. Ilie George a comentat:

    As vrea si eu pentru colectia personala mail-ul respectiv.
    In sfarsit am citit si eu un articol profesionist pe tema aceasta.
    Mult succes in continuare.
    Doua articole despre cum poti sa te feresti de atacurile de tip “phishing”:
    * Links removed *

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
    1. omrau.ro Post author a comentat:

      La ce anume ar folosi mesajul respectiv ? Toate datele sunt in acest articol, cu header cu tot. Si corpul mesajului este integral aici. Site-ul facut de prostul cu clona nu mai functioneaza. In schimb, ce am citit in posturile de la link-urile pe care le-ai trimis in comentariu nu prea e in regula.

      Iti place comentariul? Thumb up 0 Thumb down 0

  3. doru a comentat:

    Felicitari! Placut articolul. Primisem si eu mesajul dar inainte sa fac ceva l-am trimis cuiva de la BTR sa confirme ca este autentic.

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
  4. mihaela a comentat:

    Buna ziua,

    “Prostul cu clona” a lovit din nou dar probabil a ratat tinta pentru ca link-ul trimis nu functioneaza :D. Am primit azi un mail cu continut aproape identic fara sa fi fost vreodata clienta respectivei banci. Header-ul difera insa: “Return-Path: “. Prosti dar multi…
    Am semnalat bancii tentativa de phishing pentru orice eventualitate.

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
    1. omrau.ro Post author a comentat:

      Link-ul din mesajele de ieri nu mai merge fiindca am sters eu “form-urile”. Asta asa, din cand in cand. Daca te plicitisesti, apasa “delete”. Dat fiind ca site-ul este din Pakistan, le va fi greu celor de la BT sa faca ceva.

      Link-ul e aici: http://www.treuwesensart.com/forms/index.php

      Iti place comentariul? Thumb up 0 Thumb down 0

  5. mihaela a comentat:

    Oops, sorry, ar fi trebuit sa-mi dau seama ca nu pot include “brackets”! Adresa era “localhost@localhost.com” acuma am ratat efectul, asta e… :))

    Felicitari pentru blog, o zi buna!

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
  6. mihaela a comentat:

    Important e ca nici ala cu site-ul nu mai poate face mare lucru. Multumesc pentru link!

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
  7. Gicu de la cazane a comentat:

    “introducem adresa manual de fiecare data – http://www.bt24.ro” ??
    Neinspirat acest sfat, deoarece in cazul nefericit in care hackerul foloseste dns poisoning ajungi fix pe site-ul hackerului.

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
    1. omrau.ro Post author a comentat:

      Băi dar eşti foarte tare. Tu ce anume ne recomanzi? Să o luăm de la rotld la vale şi să verificăm pe NS-urile declarate dacă bate adresa IP de la www cu ce ne rezultă nouă la nslookup? Eşti din ce in ce mai irelevant în comentarii, îmi pare rău.

      Iti place comentariul? Thumb up 0 Thumb down 0

Leave a Reply to Gicu de la cazane Cancel reply