AVIRA prezinta detalii legate de escrocheria
online a numelui BNR
În cursul zilei de 26 iulie,
specialiştii AVIRA au semnalat transmiterea prin intermediul poştei
electronice a unui mesaj care pretindea a face parte dintr-o campanie de
donaţii iniţiată de BNR pentru a sprijini eforturile de
reconstrucţie a zonelor afectate de inundaţii. Autorii acestui mesaj
se folosesc de valurile de compasiune stârnite în rândul populaţiei de
către devastatoarele inundaţii recente pentru a
obţine detaliile de carduri bancare şi alte informaţii cu
caracter personal în scopuri frauduloase. Deşi o premieră pentru
România, acest gen de practici nu reprezintă o noutate în mediul
informatic internaţional, fiind cunoscute sub numele de phishing.
AVIRA va prezinta in continuare o analiza a acestui
atac de tip phishing care a implicat numele bancii centrale.
Frauda era concepută într-un mod foarte credibil şi
aproape imperceptibil pentru cetăţeanul de rând, nefamiliarizat cu
practicile frauduloase de exploatare a resurselor Internetului. Răspândit prin e-mail, mesajul fals era aparent trimis de
către Banca Naţională a României, prin adresa initiativa@bnr.ro.
Prezentarea e-mail-ului:
E-mailul vine de la adresa initiativa@bnr.ro, dar daca ne uitam in headere,
domeniul sursa este server.hostbigger.com.
SpamAssasin nu detecteaza nimic ciudat la acest e-mail:
X-Spam-Checker-Version: SpamAssassin 3.0.4-gr0 (2005-06-05) […]
X-Spam-Level: *
X-Spam-Status: No, score=1.5 required=3.0 tests=FORGED_RCVD_HELO,HTML_40_50,
HTML_MESSAGE,HTML_TAG_EXIST_TBODY,MIME_HTML_ONLY autolearn=disabled
version=3.0.4-gr0
De ce spunem totusi ca acest e-mail este de tip phishing?
1. Inregistrarea domeniului nelegitim este incompleta
Asa arata domeniul legitim BNR.RO conform
http://server.rotld.ro/cgi-bin/whois?whois=bnr.ro&submit=Enter
domain-name: bnr.ro
description: Banca Nationala a Romaniei
admin-contact: TP1003-ROTLD
technical-contact: TP1003-ROTLD
zone-contact: TP1003-ROTLD
nameserver: ns.bnr.ro 194.102.208.6
info: object maintained by ro.rnc local registry
info: Register your .ro domain names at www.rotld.ro
notify: domain-admin@listserv.rnc.ro
object-maintained-by: ROTLD-MNT
mnt-lower: ROTLD-MNT
updated: hostmaster-danacorb@rotld.ro 19981214
source: ROTLD
person: Tiberiu Parvulescu
address: Banca Nationala a Romaniei
address: Str. Lipscani nr 25, sector 3
address: Bucuresti
address: Romania
phone: +40-21-311 14 62
fax-no: +40-21-311 14 62
e-mail: tiberiup@nbr.ro
Se poate observa prezenta tuturor campurilor de identificare al proprietarului
acestui domeniu.
Insa, pentru domeniul rbn.ro conform
http://server.rotld.ro/cgi-bin/whois?whois=rnb.ro&submit=Enter
domain-name: rnb.ro
description: MobiFon S.A.
description: Piata Charles de Gaulle, nr.15
description: Sector 1
description: Bucharest, Romania
description: Phone: +40-21-302 4156
description: Fax: +40-21-302 1475
admin-contact: IOS1-ROTLD
technical-contact: IOS1-ROTLD
zone-contact: IOS1-ROTLD
nameserver: ns7.dr.myx.net
nameserver: dnsbck.dr.myx.net
info: Mugur Isopescu
info: Lipscani 25
info:
info: cod fiscal / cod numeric personal:
info: Registered via xnet
info: The NIC for Romania is http://www.rotld.ro/
notify: domain-admin@listserv.rnc.ro
object-maintained-by: ROTLD-MNT
updated: domain-admin@listserv.rnc.ro 20050722
source: ROTLD
application-date: 20050722
domain-status: active
registration-date: 20050722
expire-date: 20060722
se observa ca sunt mai multe lucruri in neregula:
1.1. Nu exista informatiile complete de identificare a posesorului domeniului:
telefon, adresa, e-mail, fax.
1.2. Numele asa-zisului autor parea fi o gluma. Este o
combinatie intre numele guvernatorului BNR (Mugur Isarescu) si numele unui
cunoscut moderator TV (Emanuel Isopescu). Combinatia rezultata, Mugur
Isopescu, pare asadar cunoscuta tuturor romanilor.
Se pare ca rutina si-a spus cuvantul si RNC (Romanian National Computer Network
- principala autoritate romana de inregistrare a domeniilor .ro) nu a observat aceste detalii venite de la Mobifon probabil la
fel de automatizat. In mod normal, in urma unei analize bazate pe factorul uman
nu s-ar fi permis inregistrarea acestui domeniu.
1.3. Data crearii a fost 22.07.2005, adica intr-o vineri, inainte de weekend,
cand oamenii in general folosesc mai mult Internetul pentru scopuri personale.
De asemenea, se reduce mult posibilitatea de a se afla despre aceasta frauda
din presa (nu multe ziare apar in weekend).
2. Link-ul fals din e-mail
La o investigatie mai atenta a corpului mailului se poate observa urmatorul
link problematic, intre altele perfect legitime:
<a
href="http://www.rnb.ro/process~donatie/participare-bancicomerciale/RTGS">
<table><tr><td> <a href="http://www.rnb.ro/process~donatie/participare-bancicomerciale/RTGS"
target="CONTINUT" >
http://www.bnro.ro/process~donatie/participare-bancicomerciale/RTGS
</td></tr></table></a>
Acest lucru transforma mesajul in phishing: se afiseaza un link corect,
legitim, apartinand BNR,
http://www.bnro.ro/process~donatie/participare-bancicomerciale/RTGS
care redirecteaza utilizatorul la un site fals, identic in aparenta cu cel BNR,
http://www.rnb.ro/process~donatie/participare-bancicomerciale/RTGS
unde se cer informatiile despre cardul de credit/debit.
Tehnica folosita aici nu este noua. Totusi,
nu se observa des mascarea linkului intr-un tabel.
Aceasta tehnica este folosita mai ales cand se doreste
transformarea unei intregi regiuni care cuprinde si imagini (tabel, in acest
caz) intr-un link. Aici nu este insa cazul, link-ul
fiind singurul element din tabel.
Din motive de securite nu vom afisa continutul sursa al paginilor HTML de pe
site-ul respectiv.
Prima pagina, unde se introduc detaliile despre card si posesorul acestuia:
Apoi, dupa validarea datelor, se cere PIN-ul cardului.
ATENTIE: Niciodata in tranzactiile online nu este
cerut PIN-ul cardului. Acest PIN este folosit doar la
platile la magazine si extragerea de bani din ATM-uri.
In final, donatorului i se multumeste pentru suma donata si i se genereaza
chiar si un identificator al tranzactiei.
3. Header-ele email-ului
Toate elementele de mai jos reprezinta dovezi ale
falsificarii sursei email-ului:
Return-Path: McCandle@mccandless.mozcal.org
Aceasta adresa exista si este detinuta de hostbigger.com, deci nu are nici un fel de
legatura cu BNR, care apare ca fiind autorul email-ului.
Received: from apache by server.hostbigger.com […]
Acest
4. Consideratii finale
În urma semnalării acestor mesaje, specialiştii AVIRA au iniţiat
primele măsuri pentru a pune capăt fraudei. În acest sens, a fost
contactat Mobifon, furnizorul de servicii Internet care a înregistrat domeniul
rbn.ro, unde făcea trimitere linkul fals. La puţin timp, prin
cooperarea cu reprezentanţii Mobifon, linkul a fost dezactivat, iar
domeniul suspendat.
Autorii acestui atac phishing cereau o sumă absolut nesemnificativă
chiar şi pentru un angajat cu salariu mediu pe economie. În acest fel,
daunele individuale sunt aparent minore, însă dintr-un număr foarte
mare de donatori se putea ajunge la sume însemnate. Pe de altă parte,
după obţinerea numerelor de carduri desigur că nimeni nu îi
putea opri pe falsificatori să retragă sumele de bani dorite sau la care
ar fi avut acces (în funcţie de limitele de retragere stabilite de banca
emitentă). Din fericire, AVIRA, prin colaborarea cu Mobifon, a reuşit
să îi oprească în timp util pentru a evita frauda masivă.
Analiză efectuata de Sorin Mustaca,
AVIRA Security Expert, AVIRA GmbH