BitDefender: Atacurile de tip phishing asupra clientilor BCR si Raiffeisen au acelasi autor sau aceeasi reteta
Atacurile de tip phishing asupra clientilor BCR si Raiffeisen Bank din aceasta saptamana au la origine acelasi autor/grup infractional sau reprezinta „o noua reteta de succes” aplicata pe piata subterana de „instrumente” phishing din Romania, sustin specialistii BitDefender.
Ambele atacuri, la capatul carora clientii respectivelor banci s-ar putea trezi fara bani in cont, au multe similaritati, de la mesaj pana la elemente grafice comune si folosesc o noua metoda, originala pentru piata din Romania, mult mai greu de depistat de produsele antiphishing.
„Suntem de parere ca la originea acestor campanii de phishing se afla acelasi autor/grup infractional sau ca este vorba de «o noua reteta de succes» vehiculata (sau comercializata deja) pe piata subterana de «instrumente» phishing din Romania. Afirmatia noastra se intemeiaza pe utilizarea aceluiasi element grafic, mai precis, logo-ul VeriSign, incarcat in ambele cazuri de pe portalulul Raiffeisen Online, dupa cum reiese din analiza codului sursa al paginii HTML”, a declarat Bogdan Botezatu, specialist in comunicare BitDefender.
In ambele cazuri, continutul mesajelor informeaza utilizatorii serviciilor bancare electronice despre suplimentarea masurilor de securitate, solicitandu-le totodata sa confirme anumite date confidentiale pentru a-si putea accesa conturile on-line.
Un atac mult mai greu de depistat
In cazul ambelor e-mail-uri, asemnatoare in privinta continutului, exista totusi indicii care ar trebui sa puna la indoiala legitimitatea mesajului. Ceea ce surprinde insa cel mai mult este noua metoda de phising, o pagina HTML anexata, care face mult mai greu de depistat atacul.
„S-a renuntat la metoda deja clasica a introducerii unui simplu hyperlink catre un site unde se cer detaliile despre numarul cardului, PIN-ul si data expirarii, preferandu-se anexarea unei pagini HTML, care trimite datele catre un server. In acest fel, utilizatorul nu mai acceseaza un site aflat la distanta (caz in care ar putea observa ca domeniul incarcat e diferit), ci trimite datele prin intermediul unui script PHP (referinta catre script este vizibila doar din codul sursa al paginii HTML anexate).
Aceasta tehnica, foarte ingenioasa si originala pentru Romania, se dovedeste extrem de prolifica in ocolirea detectiilor oferite de produsele antiphishing care se bazeaza exclusiv pe blacklist – deoarece pagina se incarca local, nu exista un hyperlink efectiv care sa fie comparat cu cele din lista solutiei antiphishing si detectat ca periculos”, a explicat George Petre, cercetator in probleme de Securitate Antispam din cadrul Laboratorului BitDefender.
Atacurile de tip phishing au fost lansate luni (7 iulie) catre clientii Raiffeisen Bank si respectiv joi (10 iulie) catre clientii BCR.