SkullBox Forum  |  Administrare, configurare si intretinere  |  Securitate  |  Topic: Scam pages

De ceva vreme, cred ca ati observat si voi, a reinceput "boala" paginilor false, scam pages. Cred ca cel mai des se intalneste la Reiffeisen. Primesc aproape saptamanal un scam page care incearca sa imi fure datele, date care (culmea) nu au cum sa existe din moment ce nu mai sunt client Reiffeisen de vreo 4 ani.

Anyway, pentru cei care nu stiu, o pagina scam este o pagina care arata exact ca cea de logare pe pagina oficiala. De exemplu, daca primiti o pagina scam de yahoo va arata exact ca pagina de login de la yahoo, adica ceva de genul asta:



Modul in care functioneaza e simplu. Cel care intra pe pagina, datorita asemanarii, considera ca e o pagina oficiala si isi introduce datele de conectare. Datele sunt preluate de un formular care le trimite pe mail atacatorului (sau le salveaza undeva pentru a fi apoi preluate). Ideea e simpla si, in simplitatea ei, foarte multi cad in plasa.

Ca orice om normal, probabil va intrebati ce se poate face impotriva paginilor scam. Well, inainte de toate va recomand sa va instalati Firefox pentru ca are un filtru anti scam de nota 10. Bineinteles, nu trebuie sa va bazati doar pe capabilitatile browserului pentru ca sistemul de detectie e limitat, asa ca trebuie sa avem si alte repere dupa care sa verificam o pagina.

Un semn ca pagina ar fi scam, e URL-ul paginii. De exemplu, daca am o pagina deschisa si vreau sa ma conectez verific daca sus in bara e scrisa adresa corecta. De exemplu, daca vreau sa ma conectez pe yahoo verific daca adresa scrisa incepe cu http://mail.yahoo.com - adresa pe care e normal sa fie formularul de logare. Daca adresa nu incepe cu mail.yahoo.com, chiar daca are acest sir de caractere undeva in adresa, e clar un scam. Adica, daca eu vreau sa intru sa imi verific mailul si observ ca pagina pe care am ajuns e de forma http://192.168.17.18/mail.yahoo.com/login.php e clar ca am de-a face cu un scam. Desi apare mail.yahoo.com acolo, nu apare la inceput, deci cineva de pe calculatorul cu IP-ul 192.168.17.18 si-a facut o pagina falsa pentru a-mi fura datele.

Bineinteles, aceeasi idee se aplica oricarui serviciu oferit pe internet nu doar pe yahoo.

Cum se stie ca e mai usor sa previi decat sa rezolvi o problema ar trebui sa stim de unde vin de obicei aceste atacuri pentru a le putea preveni. Ei bine, cel mai des primim pagini scam pe mail. Daca primiti un mail cu un link pe care sa va conectati cu datele care le aveti verificati adresa. Daca adresa corespunde e ok. Daca adresa e modificata sigur e un scam page.

O alta sursa ar fi aplicatiile de chat cum ar fi YM, chatul de pe hub-urile DC, mIRC etc. Daca se intampla sa primiti un link de la cineva, verificati ca intr-adevar adresa la care ati intrat e adresa pe care v-ati facut contul. Daca adresele difera e clar ca avem de-a face cu un scam page

Ei, cred ca ati prins ideea. Daca aveti nelamuriri legate de prevenirea scamului postati aici si vedem ce se poate face

si eu am primit mesaje de la Reiffeisen, cateodata si 2 pe saptamana....sau chiar mai mult.nu am stat sa tin cont de ele.
acum o perioada era mare valva cu paginile astea de scam. acum insa nu mai e chiar asa....
oricum nu e neaparata nevoie sa imite pagina de mail. poate fi un site de matrimoniale(un ex.) in care sa vi se ceara mail +parola mailului ca sa va faceti cont.chestia e dubioasa...
firefox rulz in legatura cu scam`urile...

True. Se poate ataca orice si e important sa nu cedam nici unui atac pentru ca oamenii au prostul obicei sa foloseasca aceleasi date in mai multe locuri si se pot deduce parolele de pe conturi protejate.

Mai demult am scris un articol aici legat de scam-uri:
http://white-truth.info/blog/tips/13/#more-13
Ogh amintiri si vise ce aveam 

) cei de la RF cred ca au inebunit ... si eu primesc o data la 2 zile )

da cat de idioti pot fi astea care trimit spamu ... daca vad ca nu prind nimic de ce naiba mai da pe mail_listu ala care il au ?

De ce esti tu sigur ca nu prind nimic?

ca probabil list lor de emailuri e luat asa la misto ./.. si poate nici 5% nu au account la RF ))

Sigur e luat aiuria, dar Reiffeisen are destul de multi clienti si nu toti se pricep ca sa faca diferenta

Anyway, pan' la urma e suficient sa prinda doar 4-5 oameni cu ceva bani in cont.

Da, si din pacate multi cad in plasa asta...
Totusi nu inteleg de ce din momentul in care s-a aflat de existenta unui scam, nu se iau masuri pentru blocarea site-ului. Pentru ca dureaza ceva timp pana cand un scam este inchis...daca pot sa zic asa.

aner, ai fost client Reiffeisen? Daca ai fi ai intelege perfect

Pe aia nu ii intereseaza de absolut nimic. Mergi la ei si le spui ca vrei sa depui 1000RON intr-un cont si iti arunca un "Mergeti la alta colega" fara sa-ri ridice macar ochii de pe monitor. Un pic de aroganta in plus de ar avea, ar putea sa candideze la un post de bugetar

Am fost, si nu am avut probleme cu ei :)In momentul de fata, folosesc ING, si personal am fost multumit de ambele banci.

Btw, ca experiente negative, pot spune ca am avut cu BRD, mai degraba i-as regasi pe ei in descrierea facuta de tine 

pai daca nu ai observat il inchid ... si dupa o zi 2 ... fac altu si trimit iar ... eu mam scarbit de cat am primit )

Scamul pentru clientii Raiffeisen, linkul a functionat cateva zile bune:) Cel putin eu asa am observat.

Am primit si eu in ultima perioada cam 20 de emailuri de phishing. Din curiozitate am dat click pe link ca sa vad din ce zona geografica este serverul infectat. Era din insulele Maldive. Le`am trimis la proprietarii site`ului un email prin care ii informam ca serverul lor a fost spart si ca se face phishing de pe siteul lor dar emailul mi`a fost rejectat. Dilema mea este: hackerii au corupt si sistemul de mail sau exista o alta cauza tehnica pentru care mi`a fost rejectat mailul?
Uitati ce am primit inapoi:

This report relates to a message you sent with the following header fields:

&nbsp; Return-path: <accesinterzis@gmail.com>
&nbsp; Received: from tcp_intranet-daemon.inet01.mv.undp.org by inet01.mv.undp.org
&nbsp; (iPlanet Messaging Server 5.2 HotFix 1.21 (built Sep&nbsp; 8 2003))
&nbsp; id <FOBT08T02YXO0301VW@inet01.mv.undp.org>; Sun,
&nbsp; 1 FEB 2009 02:16:38 +0500 (West Asia Standard Time)
&nbsp; Received: from dedicated832.dhivehinet.net.mv
&nbsp; (dedicated832.dhivehinet.net.mv [192.168.1.123])
&nbsp; by inet01.mv.undp.org (iPlanet Messaging Server 5.2 HotFix 1.21 (built Sep&nbsp; 8
&nbsp; 2003)) with SMTP id <FO9X08T11BVC0302H0@inet01.mv.undp.org> for
&nbsp; ahmed.nazif@undp.org (ORCPT ahmed.nazif@undp.org); Sun,
&nbsp; 01 Feb 2009 02:16:30 +0500 (West Asia Standard Time)
&nbsp; Received: from inet01.mv.undp.org ([192.168.1.123])
&nbsp; by dedicated832.dhivehinet.net.mv (SMSSMTP 4.0.5.66)
&nbsp; with SMTP id M2009020102162812257 for <ahmed.nazif@undp.org>; Sun,
&nbsp; 01 Feb 2009 02:16:29 +0500
&nbsp; Received: from mr01.undp.org (mr01.undp.org [57.69.30.7])
&nbsp; by inet01.mv.undp.org (iPlanet Messaging Server 5.2 HotFix 1.21 (built Sep&nbsp; 8
&nbsp; 2003)) with ESMTP id <FNY108TYBIMW03021G@inet01.mv.undp.org> for
&nbsp; ahmed.nazif@undp.org (ORCPT mvwebmaster@undp.org); Sun,
&nbsp; 01 Feb 2009 02:16:27 +0500 (West Asia Standard Time)
&nbsp; Received: from mr01.undp.org (localhost [127.0.0.1])&nbsp; &nbsp; by mr01.undp.org (Postfix)
&nbsp; with SMTP id 526D9D6C98E; Sat, 31 Jan 2009 16:16:14 -0500 (EST)
&nbsp; Received: from psmtp.com (exprod7mx246.postini.com [64.18.2.100])
&nbsp; by mr01.undp.org (Postfix) with SMTP id 33B5FD6C82B; Sat,
&nbsp; 31 Jan 2009 16:16:11 -0500 (EST)
&nbsp; Received: from source ([72.14.204.175]) by exprod7mx246.postini.com
&nbsp; ([64.18.6.14]) with SMTP; Sat, 31 Jan 2009 16:16:20 -0500 (EST)
&nbsp; Received: by qb-out-1314.google.com with SMTP id q18so411359qbq.28 for
&nbsp; <multiple recipients>; Sat, 31 Jan 2009 13:16:17 -0800 (PST)
&nbsp; Received: by 10.142.218.4 with SMTP id q4mr1095023wfg.225.1233436576085; Sat,
&nbsp; 31 Jan 2009 13:16:16 -0800 (PST)
&nbsp; Date: Sat, 31 Jan 2009 23:16:16 +0200
&nbsp; From: marian marian <accesinterzis@gmail.com>
&nbsp; Subject: Alert !!!
&nbsp; To: registry.mv@undp.org, aminath.ibrahim@undp.org, mvwebmaster@undp.org
&nbsp; Message-id: <bd8df3e80901311316i6dad3f34t31f4acc21460488e@mail.gmail.com>
&nbsp; MIME-version: 1.0
&nbsp; Content-type: multipart/alternative; boundary=000e0cd22f28f875a40461cdd469
&nbsp; Authentication-Results: mr01.undp.org; dkim=pass (1024-bit key)
&nbsp; header.i=@gmail.com
&nbsp; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;&nbsp; &nbsp; &nbsp; &nbsp; d=gmail.com;
&nbsp; s=gamma; h=domainkey-signature:mime-version:received:date:message-id:subject
&nbsp; :from:to:content-type;&nbsp; &nbsp; &nbsp; &nbsp; bh=Qi+MiJNMlk+O11xYhY0YK6OofdJOxjQqAM2xiGVrXFU=;
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; b=unv5b0AvxNs3gSrOYDW9I1Z8GRx+jhBmi6NDxTOm6UyPZvqLuGg9q2Se5kPyEEvQfD
&nbsp; fA85FdyoqEa2D6bufXTbBNcF201IE1xQl+TMbOaKsZ06TJA37Yw1TNjtmfH4GNWzMMvJ
&nbsp; FoaRy8dLFFuRVeAEdMQxY8D6YTbnqkyHIP4qE=
&nbsp; DomainKey-Signature: a=rsa-sha1; c=nofws;&nbsp; &nbsp; &nbsp; &nbsp; d=gmail.com; s=gamma;
&nbsp; h=mime-version:date:message-id:subject:from:to:content-type;
&nbsp; b=jQOiOBcFVcVjgr5auCrdn8AxPYigaZrv4UHJQFlOJeDlDGIK8733H6XmIpfEJFTLJK
&nbsp; 9VB1LTyN+CQydO4auGUkf9jDIJptO8ANi7B6RXC+VgWgT8N8P4CruRZ6Blji7RoEHSb1
&nbsp; FEROngjI0HlYFFe5+micIRbrCXFtB5QvU6VH0=
&nbsp; X-DKIM: Sendmail DKIM Filter v2.4.0 mr01.undp.org 33B5FD6C82B
&nbsp; X-pstn-neptune: 0/0/0.00/0
&nbsp; X-pstn-levels: (S: 8.74983/99.90000 CV:99.9000 R:95.9108 P:95.9108 M:97.0282
&nbsp; C:98.6951 )
&nbsp; X-PMX-Version: 5.5.1.360522, Antispam-Engine: 2.6.1.350677,
&nbsp; Antispam-Data: 2009.1.31.210418
&nbsp; X-PMX-Spam: Gauge=IIIIIIIII, Probability=10%,
&nbsp; Report='CTYPE_MULTIPART_NO_QUOTE 0.5, FORGED_FROM_GMAIL 0.1,
&nbsp; BODY_SIZE_1000_LESS 0, BODY_SIZE_2000_LESS 0, BODY_SIZE_5000_LESS 0,
&nbsp; BODY_SIZE_800_899 0, SMALL_BODY 0, __CP_MEDIA_BODY 0, __CP_URI_IN_BODY 0,
&nbsp; __CT 0, __CTYPE_HAS_BOUNDARY 0, __CTYPE_MULTIPART 0, __CTYPE_MULTIPART_ALT 0,
&nbsp; __FRAUD_419_WEBMAIL 0, __FRAUD_419_WEBMAIL_FROM 0, __FROM_GMAIL 0,
&nbsp; __HAS_HTML 0, __HAS_MSGID 0, __MIME_HTML 0, __MIME_VERSION 0,
&nbsp; __PHISH_IMG_UL_DIR_WEBPAGE 0, __PHISH_SPEAR_SUBJECT 0, __SANE_MSGID 0,
&nbsp; __STOCK_SUBJ_9 0'

Your message cannot be delivered to the following recipients:

&nbsp; Recipient address: @mr01.hq.undp.org:ahmed.nazif@undp.org
&nbsp; Original address: ahmed.nazif@undp.org
&nbsp; Reason: Remote SMTP server has rejected address
&nbsp; Diagnostic code: smtp;550 5.1.1 <ahmed.nazif@undp.org>: Recipient address rejected: User unknown in relay recipient table
&nbsp; Remote system: dns;smtp.undp.gmessaging.net (mr03.undp.org ESMTP Postfix)

Reporting-MTA: dns;inet01.mv.undp.org (tcp_intranet-daemon)

Original-recipient: rfc822;ahmed.nazif@undp.org
Final-recipient: rfc822;@mr01.hq.undp.org:ahmed.nazif@undp.org
Action: failed
Status: 5.1.1 (Remote SMTP server has rejected address)
Remote-MTA: dns;smtp.undp.gmessaging.net (mr03.undp.org ESMTP Postfix)
Diagnostic-code: smtp;550 5.1.1 <ahmed.nazif@undp.org>: Recipient address
rejected: User unknown in relay recipient table


-----Inline Message Follows-----

Some blackhat hackers crack your server and now they make phishing by your site. Verify this URL urgent
http://www.mv.undp.org//Images/undp/login.htm
This blackhat hackers fraud the Raiffeisen Bank and Raiffeisen Bank`s clients.

Cand ma gandeam si eu ca ce norocos sunt fata de voi ca nu primesc uitati aici:
Stimate client,
Departamentul de Securitate On-line al Raiffeisen Bank va aduce la cunostinta ca in data de 3 februarie 2009
am detectat mai multe tentative de autentificare neautorizate a contului dumneavoastra Raiffeisen Online.
Pentru a evita suspendarea automata a contului dumneavoastra din cauza fraudelor on-line va rugam sa va accesati contul la adresa mentionata mai jos in cel mai scurt timp.
 
 
Multumim pentru colaborare si nu uitati ca Raiffeisen Online nu va va cere niciodata mai mult de 2 cifre de pe cardul dumneavoastra de debit.
 
Raiffeisen Bank Romania
 
Adresa corecta a portalului de autentificare a Raiffeisen Online este:
(https://www.raiffeisenonline.ro/eBankingWeb/login?Lang=ro)
 
Va multumim pentru intelegere. Cu stima, Echipa de Securitate Raiffeisen Bank Romania.
************************************************************
 
Raiffeisen Online (numere de telefon 021 / 306.55.55 sau 021 / 306.55.56 ). verde
 
 
© Raiffeisen Bank 2006 .
 
_______________________________________________________
Acest e-mail a fost scanat cu succes de MessageLabs Email
Security System.