Aerbit - sfaturi securitate IT

Mesaje înșelătoare care imită CEC Bank



Fiți vigilenți la orice email care pare a veni de la o instituție bancară.
Dacă este o bancă cu care nu aveti legătură atunci cumva intuiți din start că este un spam. Dar ce faci când este mesajul care ar veni de la o bancă unde ai cont/conturi?

PREVENTIE:
La orice email în care se precizează vreo comunicare din partea unei bănci, mai bine intrați manual dvs pe site-ul bancii și vedeți acolo dacă este o solicitare.

Detalii tehnice pentru spamul venit in numele CEC:
Subiect email: “Actualizare urgentă necesară”
IP atacator: 185.94.236.246 din Țările de Jos [Olanda]
Domeniul atacatorului (de unde a trimis spamul): mta2.milawipegebaeudereinigung.de [domeniu german]

Mostra SPAM:

Dovada ca linkul din email este periculos.
Adresa web n-are nicio legatură cu instituția bancară uzurpată, în acest caz CEC Bank. Hackerul a adăugat textul “ceconline” ca sa dea legitimitate spamului, ca să înșele vigilența dvs. Aveți mai jos detalii despre link-urile AMAZON implicate in campaniile spam.

Explicare link din email spam:

Amazonaws.com este un domeniu legitim deținut de Amazon ca parte a ofertei Amazon Web Services (AWS). AWS permite clienților să închirieze resurse de cloud computing pentru a găzdui site-uri web și aplicații. Problema apare atunci când infractorii informatici creează conturi AWS pentru a găzdui site-uri de phishing, în acest caz fiind un site care imită CEC Bank.

Hackerii exploatează domeniul amazonaws.com care fiind de încredere poate ocoli filtrele de securitate și listele antispam. La prima vedere, link-urile găzduite pe AWS par inofensive, dar utilizatorii pot fi redirecționați către diverse pagini de înșelătorie concepute pentru a fura informații personale și despre cardurile bancare.
Daca doriti sa aprofundati tematica aveti aici explicatii suplimentare: Atenție la linkurile Amazonaws.com rău intenționate utilizate în escrocherii
La AMAZON exista o pagina de raportare abuz, ceea ce am si facut: Report a scam - Amazon Customer Service (eu am trimis mostra spam la reportascam@amazon.com via email)

Cum se manifestă atacul
(NU RECOMAND SĂ FACEȚI ACEST LUCRU, DECÂT DACĂ STIȚI SĂ LUCRAȚI CU MEDII DE TEST IZOLATE DE REȚEAUA VOASTRĂ ȘI AVEȚI CUNOȘTINȚE TEHNICE ÎN CYBER-SECURITY!)
Daca se face click pe linkul din emailul spam, va apare o pagina care imita CEC BANK, printr-o redirectare automata de la:


la site atac phishing care vă solicită datele dvs (NU FACETI ACEST LUCRU! Recomand, ca atunci când aveți asemenea situații, mai bine intrați dvs manual pe site-ul bancii decât prin click link din orice email primit!):


Acum câteva mențiuni:
  • Am adăugat date fictive ca să văd “reacția” paginii de phishing;
  • Observați că pagina conține CAPHA (acel cod de confirmare, “nu sunt robot”);
  • Există un buton off/on, care predefinit este off, că ești de acord cu termenii și condițiile (imită că poți descarca un PDF cu termeni si conditii bancă, la verificare nu era decat o imagine fără click implementat. Aici hackerul se bazează pe faptul că majoritatea utilizatorilor trec de acest pas);
  • Elementele vizuale și culorile din pagina de phishing imită bine pagina legitimă CEC Bank, site-ul legitim fiind aici: https://www.cec.ro/


Dacă victima apasă butonul CONTINUĂ atunci apare o animație care încearcă să te facă să stai cât mai mult pe pagina de phishing respectivă (am așteptat un minut și vizual nu s-a schimbat nimic):


Pe lângă datele sensibile livrate hackerului prin completarea formularului, în fundal atacul se desfăsoară pentru a afla detalii despre calculatorul victimei (nume calculator, versiune sistem de operare și în ce limba este afișat, patch-uri aplicate, etc -> aceste informatii sunt utile hackerului ca să elaboreze/rafineze atacul următor. De aici rezultă importanța ca dvs să aveți mereu aplicate actualizările la sistemul de operare și la programele instalate:



IP-uri implicate în acest atac, conexiuni:
185.94.236.246 – Tarile de Jos [Olanda] de unde a venit emailul spam
40.127.240.158 – Irlanda [este un server proxy public]. Acest IP apartine de Microsoft
188.114.96.3 – SUA, apartine de CloudFlare Inc. fiind IP-ul unde este pagina phishing:


Cum vă apărați?
  • NU dați curs cererii primite, oricât de urgentă ar fi situația descrisă de atacator și NU FACEȚI click pe link-urile din emailurile spam;
  • NU deschideți atașamentele din mesajele spam;
  • ÎN CAZ CĂ AȚI PICAT ÎN CAPCANĂ, SĂ CONTACTAȚI BANCA ȘI BLOCATI CARDUL;
  • Achiziționati și folosiți un antivirus cu plată (nu recomand antiviruși gratuiți în mediul de lucru profesional mai ales) și realizați măcar o scanare manuală pe săptămână. Recomand Bitdefender, ESET, etc (un antivirus măcar din top 10)
  • Dacă aveți vreodată dubii că cineva vă accesează adresa de email atunci vă recomand să vă schimbați parola (solicitați la IT dacă implică adresa de email business);
  • Trimiteți la IT ca mostra cu acel email spam și așteptați răspunsul lor.

Rămâneți vigilenți/vigilente!

Experiență IT
Trebuie să fii perfecționist pentru a reuși asimilarea atâtor informații din acest domeniu.
Siguranță și securitate IT
Se descoperă, într-un ritm alert, noi brese de securitate, iar expertii anunță din timp producatorul.
Perfecționare continuă
Rămâneți conectați la canalele de informare și căutați cazurile explicate despre atacurile cibernetice.
Diseminare informații
Discutați cu prietenii sau colegii dvs despre tendințele din domeniul securității informației.
Gabriel Soltaniuc @ Toate drepturile rezervate!
Abonati-va la feed-ul RSS AerBit