Mesajul pare super verific pentru că designul este curat și folosește elementele vizuale ale CEC Bank (culori, logo, bannere).

Linkul către care se face trimitere duce la un site fals de pe alt domeniu, dar care se termină în „/cec/”. Acesta este un semnal că respectivul site conține mai multe pagini false, nu doar cea a CEC Bank.

Primul lucru pe care trebuie să îl verificăm la un astfel de email este de la cine vine.

Apoi, dacă ținem mouseul deasupra butonului sau imaginii unde se presupune că ar trebui să facem click, ne apare pagina de destinație

Aceste 2 elemente de verificare ar trebui să ne dea de gândit pentru că siteul oficial al bănci este cu siguranță altul.

Cu noroc, Google Chrome ne avertizează destul de rapid că siteul țintă este periculos. Dacă nu ne dăm seama că nu aparține de CEC, acest mesaj ar trebui să fie suficient.

Redau aici mesajul de tip tentativă

Draga Client, Am observat un utilizare neobișnuită a cardului dumneavoastră de credit de la adresa IP 213.162.80.119. Ca rezultat, am descoperit că altcineva a folosit cardul dumneavoastră fără permisiunea dumneavoastră. Ce ar trebui să faceți? Apăsați butonul de mai jos pentru a deschide o fereastră de browser securizată și urmați instrucțiunile pentru a efectua imediat o verificare a identității și pentru a revizui activitatea recentă. Mergeți la Internet Banking Notă : Vă rugăm să faceți acest lucru în 24 de ore, altfel va trebui să vă blocăm cardul pe termen nelimitat, deoarece ar putea fi folosit în scopuri frauduloase.Cele bune, Echipa CEC Bank

Ce găsim pe pagina de destinație?

La accesare, va aparea un formular ce solicită datele cardului. Nici o bancă nu vă va solicita ABSOLUT NICIODATĂ aceste informații, mai ales online. Nici măcar angajații băncii nu au acces la astfel de informații.

Dacă cumva ai completat din grabă informația (pentru că astfel de campanii se folosesc de grabă și frică), următoarea pagină îți va da de gândit pentru că afișează o imagine care se încarcă la infint, fără să facă nimic. În tot acest timp, atacatorul va încerca extrem de rapid să îți folosească datele, iar dacă nu va reuși, oricum le va vinde pe un forum. CNPul tău asociat cu emailul de pe care ai venit se pot vinde bine.

Concluzia: nu te grăbi niciodată, verifică orice sursă de informație!

PS: Tehnicile moderne de phising folosesc apelurile vocale și chiar video cu ajutorul inteligenței artificiale. Voi reveni cu articole despre cum să ne protejăm.

Update: Schema Followup

Cel mai interesant lucru este că, deși linkul suspect părea unul generic, acesta avea o denumite unică astfel încât să detecteze faptul că am făcut click.

Ulterior completării formularului care fură datele cardului, am primit un email de followup cu subiectul „Actualizare de securitate necesară pentru contul dumneavoastră”.

Atacul pare că schimbă strategia cu una de tip psihologie inversă pentru cazul în care cititorul și-a dat seama că este vorba de un spam. Cel mai interesant este că emailurile au ajuns în inbox și nu în spam.

De această dată, am primit mesajul de la alt sender, alt link, cu mesajul:

Stimate client,

Contul dumneavoastră a fost suspendat. Trebuie să activați noul sistem de securitate.

Ca răspuns la atacurile recente care au afectat multe sisteme bancare, CEC-BANK în parteneriat cu Poliția pentru consolidarea securității tranzacțiilor necesită actualizarea contului dumneavoastră în următoarele 48 de ore.
Activează Sistemul Nou

* Echipa noastră lucrează întotdeauna pentru a vă oferi tot ce este mai bun.

Vă mulțumim pentru încrederea acordată,

CEC-Bank

Interesant este că, pe pagina de destinație, niciunul intre câmpuri nu are filtre pentru o validare corecta.

Rolul acestui articol este să te ajute să te ferești de fișierele suspecte, mai exact de arhive.

Un vector de transmitere a virușilor este descărcarea de fișiere în laptopul propiu sau în cel de serviciu și deschiderea acestora. Atacatorii sunt foarte inventivi și nu trebuie subestimați.

Cum recunosc un fișier sau un e-mail suspect?

• Textul e-mailului conține numeroase greșeli gramaticale
• Se trimite un fișier în care scrie că formatul este docx sau .pdf, dar dacă ne uităm mai atent, formatul este .exe .iso sau chiar .zip. (formatele .exe sau .iso sunt executabile, formatul .zip este o arhivă care poate conține un executabil). Multe calculatoare sunt setate să nu afișeze extensia, ceea ce crește riscul de a da click pe un fișier malicios. De asemenea, programele software au un icon propriu. Am întâlnit fișiere executabile cu icon similar cu Microsoft Word, iar fișierul se numea invoice.docx.exe (.exe fiind extensia care nu era afișată pe respectivul calculator).
• Ceva lipsește din context (am văzut atacuri care conțineau inclusiv informații despre clienți vechi ai victimei, era scris și în limba italiată, aceasta fiind limba persoanei care se presupunea că ar fi trimis mesajul. Totuși, lipseau informații importante din context, acel client nu avea de ce să trimită o cerere de ofertă întrucât se încheiase colaborarea de 2 ani).
• Adresa de e-mail a celui care trimite vine de la alt domeniu web (domeniul web se referă la locul unde cel care trimite mailuri își ține căsuța de e-mailuri. De exemplu, dacă am siteul comanpaul.ro, pot să am un email la adresa contact@comanpaul.ro.). Un atacator ar putea să cumpere un domeniu similar „comanpaull.ro” și să trimită un e-mail de la această adresă „contact@comanpaull.ro” sau „contact@c0manpau1.ro unde litera „O” este înlocuită cu cifra „zero”, iar litera „L” cu cifra „1”.
• Un e-mail este suspect dacă ni se solicită parole, coduri PIN sau alte informații confidențiale. Băncile nu au nevoie să afle codul nostru PIN, de exemplu.
• Un e-mail este suspect dacă multe linkuri duc către nicăieri sau duc către pagini care par să nu fie cele adevărate (ex. faceb0Okk.com în loc de facebook.com). Un site fals ar putea să ne fure datele de conectare. Puteți testa introducând o parolă greșită prima dată.
• Dacă suntem conectați în panoul de administrare al unui site al firmei și primim un e-mail care pare interesant dar duce la un link extern ce conține informații despre site-ul nostru, ar putea fi o încercare de injecție al unui script folosindu-se de contul nostru de admin. (exemplu de link suspect: <vezi oferta> cu link către www.sitedubios.ro?ref=comanpaul.ro).
• Emailurile suspecte îți pot cere să îți actualizezi datele pentru servicii/conturi pe care le ai (Netflix, Google Drive s.a.m.d)
• Formula de salut este una generală, nepersonalizată cu numele tău

Cum pot vedea ce conține o arhivă?

Recomand să nu dezarhivezi niciodată o arhivă până nu verifici ce se află înăuntru.

https://extract.me/ este un instrument online care te lasă s încarci o arhivă mică din calculator, Google Drive sau Dropbox și să o dezarhivezi online.

https://www.virustotal.com/gui/ este un scanner online pentru viruși care folosește în jur de 60 de antivirusuri online. La acest instrument putem verifica și site-uri.

Recomandările mele:

• dacă un e-mail pare urgent, dar ceva este ciudat, mai bine să îl ștergi. Dacă cineva are ceva urgent cu tine, te va putea apela direct.
• protejează-ți conturile prin autentificare cu mai mulți factori
• nu folosi aceeași parolă peste tot
• nu da click pe orice fișier fără să analizezi de unde vine și ce conține