un blog de Radu Dumitru

►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄

Atenție la un phishing destul de bine făcut cu Banca Transilvania

16 Jul 2019  ·

TEHNOLOGIE  ·

19 comentarii

Dacă sunteți clienți Banca Transilvania, atenție să nu cădeți pradă acestui phishing destul de binișor pus la cale de niște turci pentru a vă fura username-ul și parola de login în internet banking.

Astăzi am primit reclama Facebook de mai jos:

Mi-a atras atenția pentru că:

  • numele este scris greșit, “Transilvnia” și astfel de typo-uri nu se întâmplă în numele unei pagini.
  • premiile par aiurea, 5 mașini Camaro deși aceasta nu este vândută oficial la noi, plus 100 de iPhone X. O astfel de campanie făcută pe bune ar fi atras reclame mult mai mari în țară decât ceva pe Facebook cu typos în titlu. Mai lipsea clasica fotografie cu teancuri de cutii de iPhone și “partikip”.
  • link-ul de sub imagine zicea ceva de Google.com, plus că întreg textul n-are cap și coadă.

Zic astea ca să știți ce-ar trebui să vă declanșeze un semnal de alarmă și în viitor, cu alte ocazii.

Reclama duce la o pagină bt24transilvania.com care arată similar cu cea de login în pagina reală de Internet Banking a băncii. Mint, arată mult mai bine; site-ul de Internet Banking al BT arată ca în anii 90. Cred că BT ar putea chiar să împrumute niște idei de la acest spoof.

Linkurile din site-ul fake duc la niște 404 not found din Turcia sau la nimic. Observați și că nu are certificat SSL, pe când site-urile oficiale BT au.

Pagina care a publicat reclama este una făcută recent, 5 membri, logo-ul BT și o caricatură cu Erdogan sau cine o fi ăla.

Reclama trece prin tiny.cc, un serviciu de scurtare linkuri. Până acum, 1552 clickuri.

Le-am trimis celor de la BT un mesaj prin Facebook și spuneau că știu de problemă. Până dispare pagina și reclama aceea, vedeți însă să nu-i picați în plasă.

Per total, mi se pare că și Banca Transilvania se pretează mai bine la astfel de phishing decât altele pentru că:

  • are tot felul de branduri mai mici, precum BT24, și atunci pot apărea ușor confuzii precum “BT 24 Transilvania”
  • nu și-a securizat diverse domenii ce-ar putea avea legătură cu ei. De exemplu, bt.ro nu-i al lor, iar Internet Banking-ul se accesează la adresa https://ib.btrl.ro, acel btrl.ro nefiind uzual utilizat în comunicare, chiar dacă este al lor. Nu-i tocmai ușor de reținut.

    19 comentarii

  1. De ce spui ca phishingul este destul de bine făcut daca nu au nimerit numele bancii si nici nu au SSL ?

      (Citează)

    • Pentru ca probabil 90% din utilizatorii de FB habar n-au de SSL si nu stiu sa caute iconita in bara de adresa, iar litera mancata in denumire nu se observa cand ai ochii pe premiu. Lumea, in general, nu este atenta, pentru ca daca ar fi nu ar mai exista phishing…

        (Citează)

    • Îți dai seama că partea cu numele băncii e intenționată, nu? Iar la SSL câți dintre utilizatorii de internet se uită?

        (Citează)

  2. O formulare dubioasa e si “aplica imediat”. Nu se foloseste “imediat” aproape niciodata in contextul asta, doar ca aia care au tradus cu Google translate sau ceva de genu, au pus si ei ce le-a dat programul respectiv.

      (Citează)

  3. iphone scris cu P mic. #saraci

      (Citează)

  4. Unde te loghezi cu user parola ?

    Am avut token si sms, niciodata parola permanenta.

      (Citează)

    • Baltha Zerus, te poți loga și doar cu parolă. Se schimbă după câteva luni de utilizare.

        (Citează)

    • Mie imi cere pe langa parola si un cod trimis sms pe telefonul meu(la fiecare logare). Parola se schimba la cateva luni

        (Citează)

  5. Decenta tentativa, dar treaba cu certificatul SSL, nu ofera o mare siguranta, ci doar faptul ca in acel site, datele ar fi criptate, deci phisingu ar fi sigur. Desigur, nu apare lacatul deci poate fi ceva dubios :) . Ca si idee, certificatele SSL sunt gratuite, de la https://letsencrypt.org.
    Acum referitor la BT, sunt curios de ce nu schimba adresa de internet banking, catre ceva sugestiv si simplu sa stie lumea? Dincolo de asta, spooful asta iti lua doar parola, mai trebuia o aplicatie instalata pe mobil care sa citeasca sms-urile, respectiv sa le ascunda de utilizator si bingo, incepea nebunia. Pe android, nu este nici simplu, dar nici dificil de implementat, pe ios ar fi mai complicat, dar ala e de bogati.
    Cred ca in momentul acesta, este foarte interesant cum bancile isi vor securiza intregile aplicatii, intrucat ai phising, iar PSD2 bate la usa. Mi se pare destul de clar, ca actualele modalitati de securitate vor fi cat de curand depasite.

      (Citează)

    • Paul Zapodeanu

      16/07/2019 la 5:35 PM

      Majoritatea certificatelor SSL sunt de tipul DV (domain validation), adica la sfarsitul zilei tot ce certifica ele, este ca administratorul site-ului pe care esti e acelasi cu administratorul acelei zone de DNS (indiferent daca e un certificat let’s encrypt sau unul semnat de un CA mainstream).

      In general bancile au certificate EV (extended validation), unde se verifica existenta unei entitati comerciale, SA, SRL whathaveyou. La astea in browser apare nu doar lacatelul, ci si numele entitatii (ceva gen Banca Transilvania, ING NV Amsterdam and so on).

      Anyway, daca e sa ramaneti cu ceva de aici, ramaneti cu ideea ca certificatele SSL DV nu garanteaza decat controlul pe domeniul de DNS. Si oricine poate inregistra un domeniu de DNS pentru o suma modica.

        (Citează)

  6. Cel putin Chrome te avertizeaza ca este un site periculos.

    “Deceptive site ahead
    Attackers on bt24transilvania.com may trick you into doing something dangerous like installing software or revealing your personal information (for example, passwords, phone numbers or credit cards).”

      (Citează)

  7. Cătălin Tănase

    16/07/2019 la 7:12 PM

    Nu am BT, dar nu au și ei un layer de securitate suplimentar? Un token, o aplicație, ceva? Doar user și pass?

      (Citează)

  8. iar rusi? mai dar nu se mai satura rusii astia de facut magarii peste tot.

    altfel, oricum doar daca esti idiot ai cadea in plasa la phishing asta, e lame.

      (Citează)

  9. nu man, are user+pass plus cod sms.

    Cătălin Tănase:
    Nu am BT, dar nu au și ei un layer de securitate suplimentar? Un token, o aplicație, ceva? Doar user și pass?

      (Citează)

    • @Mihai de câtă vreme e așa? În mod sigur s-au schimbat lucrurile pentru că eu am cont mai vechi la BT și nu am validare prin SMS, doar user și parolă care trebuie schimbată după 3 luni sau ceva de gen. E drept că nu am mai accesat internet banking-ul de ceva timp.

        (Citează)

  10. Paul Zapodeanu:
    Majoritatea certificatelor SSL sunt de tipul DV (domain validation), adica la sfarsitul zilei tot ce certifica ele, este ca administratorul site-ului pe care esti e acelasi cu administratorul acelei zone de DNS (indiferent daca e un certificat let’s encrypt sau unul semnat de un CA mainstream).

    In general bancile au certificate EV (extended validation), unde se verifica existenta unei entitati comerciale, SA, SRL whathaveyou. La astea in browser apare nu doar lacatelul, ci si numele entitatii (ceva gen Banca Transilvania, ING NV Amsterdam and so on).

    Anyway, daca e sa ramaneti cu ceva de aici, ramaneti cu ideea ca certificatele SSL DV nu garanteaza decat controlul pe domeniul de DNS. Si oricine poate inregistra un domeniu de DNS pentru o suma modica.

    Paul, asa era mai demult, cand certificatele EV aveau ceva atractivitate in market. Dupa ce s-a observat ca userii oricum nu știau dupa ce sa se uite si nu se prindeau cand bara verde lipsea, nici browserele nu au mai scos asta in evidenta. Plus cazul cu Stripe Inc (google stripe inc ev) in care un tip a obtinut EV pentru un Stripe din alt stat american decat adevaratul Stripe, aratand ca si acea validare care dadea EV-urilor ceva avantaje peste DV e de fapt destul de usor de obtinut.
    O argumentare faina: https://www.troyhunt.com/extended-validation-certificates-are-dead/

      (Citează)

  11. Poate mai face BT un ban în plus…

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus