Tentativa de phishing: www.superbingo.ro
Adaugat pe data: January 14th, 2010Website-ul www.superbingo.ro si interfata ePayment au fost implicate intr-o tentativa de phishing. Mai multi utilizatori de internet au primit un email cu titlul: “Confirmare castig www.superbingo.ro”.
In mesaj, utilizatorii sunt invitati sa verifice online starea tranzactiei. Hyperlinkul trimite insa catre o pagina care preia elementele de identificare vizuala ale SuperBingo si ale interfetei de plata ePayment fara a avea insa elementele de securitate (ex: https lipsa).
“Stim de aceasta situatie si lucram impreuna cu Phoenix Games si cu Directia de Combatere a Crimei Organizate pentru identificarea celor care au initiat aceasta tentativa. Principalele noastre masuri vizeaza: informarea utilizatorilor de internet si dezactivarea paginii catre care conduce linkul precum si informarea bancilor ale caror carduri au fost compromise. Cei care primesc acest email nu trebuie sa dea curs mesajului prin introducerea datelor personale si de card in pagina respectiva”, a explicat Cristian Badea, CIO GECAD ePayment.
Cum recunosti o pagina ePayment legitima
- Adresa incepe intotdeauna cu https://secure.epayment.ro/
- Datele de card se cer doar in scopul executarii unei plati pe unul din site-urile partenere
ePayment, in calitate de procesator al tranzactiilor pentru superbingo.ro nu trimite emailuri de confirmare decat dupa efectuarea unei plati, niciodata inainte, cu atat mai mult pentru revendicarea unor premii.
Ce este phishingul. Phishing-ul este una dintre cele mai des intalnite infractiuni informatice, scopul fiind colectarea de informatii confidentiale de genul CNP, numere de cont, numere de card, coduri PIN si apoi folosirea lor pentru sustragerea de bani. De obicei, sunt targetati clientii companiilor din industria financiar-bancara, dar apar cazuri in care pot fi atacate si companii din alte sectoare si chiar magazine online.
Pe scurt, in cadrul unui atac de tip phishing autorul trimite mesaje prin email ca fiind din partea unei anumite companii binecunoscute, catre presupusi clienti ai acesteia. De cele mai multe ori, adresele de email la care sunt trimise mesajele sunt colectate prin metodele folosite si de spammeri. Foarte rar, atacul are la origine furtul bazei de date cu clienti ai companiei vizate.
Cum recunosti un atac de phishing.
- Solicita furnizarea de informatii confidentiale (CNP, numere de cont, numere de card, coduri PIN etc), „necesare” remedierii defectiunii sau castigarii premiului promis;
- Mesajele trimit utilizatorii catre pagini de internet care copiaza foarte bine design-ul companiei cu toate elementele distinctive (ex siglele), pentru a avea sanse cat mai mari sa pacaleasca utilizatorul.
- Subiectul mesajului contine numele companiei, cu care utilizatorul este deja familiarizat iar textul este uneori personalizat cu numele utilizatorului
- La finalul mesajului se gaseste semnatura oficiala a companiei.
Update 15 ianuarie 2010
Dupa cum am anuntat si pe Twitter, am dezactivat pagina catre care conducea linkul primit prin email in tentativa de phishing de ieri.
Dorim totodata sa-i asiguram pe toti cumparatorii care au facut tranzactii prin ePayment ca baza noastra de date nu a fost atacata sau sparta.
Suntem certificati PCI DSS Level 1 (cel mai important standard de securitate din industria platilor online), prin urmare, aplicatiile web sint dezvoltate avand in vedere mai multe elemente de securitate, exista teste de penetrare periodice, plus scanari zilnice de vulnerabilitati.
Mai multi utilizatori de internet care nu au facut cumparaturi online prin ePayment ne-au semnalat primirea mesajului prin email, ceea ce ne demonstreaza ca nu exista nicio legatura intre cei care cumpara online si cei care devin tinta unor atacuri de phishing.
January 14th, 2010 at 5:46 pm
Buna ziua,
Am primit si eu un mail de acest gen, am sunat la Bingo Metropolis si mi s-a confirmat ca e un mesaj fals. Problema mea este daca ataca si conturile bancare?? Eu nu am accesat acel link in care mi se spunea sa verific starea comenzii. Totusi mi-e teama acum de comenzi online de plata.
January 14th, 2010 at 6:14 pm
Poate e momentul ca Gecad/ePayment sa instaleze pe portalul de plati un certificat SSL + Extended Validation. Investitia nu e foarte mare, dar efectele sunt imediate.
January 14th, 2010 at 9:18 pm
Social comments and analytics for this post…
This post was mentioned on Twitter by cristianbadea: RT @ePayment: Blog post: Tentativa de phishing http://www.superbingo.ro: http://blog.epayment.ro/tentativa-de-phishing-www-superbingo-ro/…
January 14th, 2010 at 11:01 pm
Mulţumesc pentru promptitudine
“informarea bancilor ale caror carduri au fost compromise” cum aţi aflat ce card-uri au fost compromise?
Un weekend minunat!
January 15th, 2010 at 10:46 am
[...] Blogul GECAD a semnalat tentativa si a reamintit care sunt elementele care ne asigura ca folosim o pagina ePayment legitima. Si cum printre destinatarii e-mailurilor s-au aflat si mai multi bloggeri, avertizarile au inceput sa apara si pe Twitter. [...]
January 15th, 2010 at 3:32 pm
Stimate Domnule Badea,
Ce se intampla in cazul unui domeniu de genul: secure.epayment.com.ro sau secure.epayment.com sau secure.epayments.ro….etc.?
Cat de avansata sa fie cultura utilizatorului incat in timpul unei simple plati online, sa acorde importanta unor asemenea detalii? Nu ma refer la phishing prin e-mail, ci la ceva mai avansat, de ex, logo-ul epayment pe diferite site-uri? Si in esenta, linkul duce intr-o pagina de genul exemplelor de mai sus.
De asemenea, cum se solutioneaza o situatie de genul clonarii paginii epayment? Fapt banuiesc, destul de greu de realizat, dar poate nu imposibil.
Multumesc anticipat pentru raspuns.
January 16th, 2010 at 5:35 pm
si eu am doua comenzi sau luat banii dar cartoane nu mi-au dat.este vreun numar unde putem face reclamatii.?
January 16th, 2010 at 5:36 pm
cat o sa mai fim furati?
January 18th, 2010 at 12:12 pm
@Violeta: Daca domeniul folosit este mai apropiat de domeniul original, atunci intr-adevar utilizatorul va sesiza acest lucru mai greu. Un certificat SSL extins, cum a sugerat Stefaniu Criste, ar fi un element in plus pe care un cumparator l-ar putea sesiza si de care sa tina cont cand revine pe pagina de plata. Fiind vorba de html, clonarea paginii nu poate fi oprita. Singurul lucru care se poate face este contactarea firmei de hosting care poate inchide accesul la aceasta pagina.
@Stefaniu Criste un certificat SSL extins este in planul nostru pe acest an, folosim deja asa ceva de aproape doi ani de zile pentru serviciul Avangate (https://secure.avangate.com/support/)
Cristian BADEA | GECAD ePayment
CIO
January 18th, 2010 at 12:12 pm
@Mihai Iorga: putina cercetare si poti afla mai multe despre ce se intampla in cazul unui atac de phishing. De ex. formularul din pagina superbingo.asoc.ro se trimitea catre http://englishcalendarphoto.com/tmp/bingo.php.
A fost suficient sa stergi numele fisierului si lista de fisiere din acelasi folder aparea, printre care si bingo.txt, un fisier in care se salvau datele in real time. Pasii de mai sus au fost facuti chiar de tine, multumim ca ne-ai trimis emailul cu adresa directa. Toate cardurile din acel fisier au fost trimise catre bancile emitente (au fost destul de putine carduri deci la fel de putine banci) care au blocat accesul in cateva minute.
(Domeniul englishcalendarphoto.com nu mai exista in acest moment, i-am contactat in aceeasi zi pe cei de la Yahoo).
January 18th, 2010 at 12:14 pm
@brosteanu cezar Ne poti contacta prin telefon la +40 21 303 20 60 sau prin email la support at epayment dot ro
March 23rd, 2010 at 7:53 pm
[...] ePayment au fost implicate ieri intr-o noua tentativa de phishing, similara cu cea inregistrata pe 14 ianuarie 2010. Ca si atunci, mai multi utilizatori de internet au primit un email in care erau invitati sa [...]
April 9th, 2010 at 4:06 pm
Peste tot se spune ce se intampla in cazul unui atac de psishing. Dar nu se mentioneaza nimic ce poti face dupa ce esti atacat.
Rog farte mult pe dl. Cristian Badea sa imi dea si mie mailul celor de la Yahoo si rog , dati-mi un sfat daca se poate, intrucat am Id-ul de Yahoo blocat ( am scris parola intr-un spam si sigur au accesat si alte informatii private ale mele).
Se poate sa intre si in pc-ul meu sa acceseze alte informatiii, parole sau alte site-uri?
Mia-m facut alt id , dar mie frica sa nu imi acceseze iar si aici parola.
Muktumesc
April 13th, 2010 at 2:00 pm
@Carmen In cazul in care ai primit un email prin care ti se solicitau date personale si de card si ai dat curs invitatiei de a introduce datele respective – fara a verifica in prealabil daca pagina URL din email este legitima si securizata – si ulterior ai aflat ca esti victima unei tentative de phishing, trebuie sa contactezi de urgenta banca emitenta a cardului tau.
Pentru a contacta cat mai rapid banca, e bine sa tii la indemana (de exemplu, impreuna cu cardul) numarul de telefon al bancii pentru relatia cu clientii. Odata ce ai luat legatura cu banca, solicita imediat blocarea cardului. Cu cat actionezi mai repede in acest sens, cu atat scad sansele ca datele de card sa fie folosite, respectiv banii de pe card sa fie scosi/ cheltuiti.
Solicita, de asemenea, un desfasurator al tranzactiilor, pentru a vedea daca iti lipsesc bani din cont. Inrolarea cardului 3D Secure – mai multe informatii poto gasi aici: http://www.epayment.ro/suport.php#q_47 – diminueaza posibilitatea ca datele de card sa fie folosite pentru plasarea de comenzi in mediul online.
In cazul in care ai constatat ca din contul tau lipsesc bani, semnaleaza acest aspect bancii. Identifica din desfasurator tranzactiile pe care nu le-ai autorizat tu si intereseaza-te care sunt pasii in procedura de recuperare a banilor.
In ceea ce priveste problema legata de blocarea ID-ului de pe Yahoo: contul de email si PC-ul nu sunt conectate intre ele. Este insa recomandat sa nu pastrezi pe email parole ale altor conturi sau alte informatii confidentiale.
May 21st, 2010 at 12:57 am
Atata timp cat cineva e atent ca link-ul accesat sa fie de forma https nu are ce sa pateasca. In schimb tot timpul vor fi utilizatori incepatori care nu vor tine cont de asa ceva, in necunostiinta de cauza.
March 21st, 2011 at 2:16 pm
numai publica si linku in totalitate ca romanu intra de curiozitate sa se uite
May 13th, 2011 at 3:57 pm
Tentativele astea functioneaza doar cu cei naivi si care is rapizi in a da click cu mouse-ul. Eu unul privesc cu suspiciune 99% din e-mailurile de genul acesta. E bine sa folositi FireFox pt. ca in multe cazuri veti fi alertat daca ceva e in neregula cu pagina respectiva.
In plus, dupa cum a zis si Norbert, verificati daca linkul e sub forma https – f. important! Daca nu e, inchideti pagina instant. Numai bine, Silviu.
July 7th, 2011 at 1:21 pm
salutare!am o intrebare pentru un caz aparte.ati auzit de clickbank si metodele lor?acestia arunca pe google (chiar pe primele locuri) sute de situri…toate scamuri veritabile.si oricw site are ceva de vanzare…software…hardware…de toate.dar trebuie sa achiti prin clickbank…si daca cumperi un produs de 49 de dolari…nu e sigur ce o sa primesti.dar lucru interesant e ca mai jos…daca nu esti atent scrie “future payments”.adica in fiecare luna iti sustrag acei bani.acesti “hoti” au facut miliarde vanzand softuri “aducatoare de bani”.se lauda ca au descoperit softul minune…1 milion de dolari in doar 2-3 zile…bla,bla,bla…ce este de facut?
July 7th, 2011 at 1:27 pm
stiu si chiar am gasit clona paypal…e foarte redutabila…error…login…e ft bn facuta…si daca o pui p un domeniu bun…poti lua bani la greu…cum poate lumea sa se protejeze de asa ceva?
July 8th, 2011 at 6:12 am
@Calin: Nu toti integratorii de plati online au sisteme de verificare a comerciantilor bine puse la punct. Unii, prefera sa accepte websiteuri automat iar, probabil, verificarea lor se face la prima incasare. In cazul ePayment verificarea antifrauda / anti spalare de bani a websiteurilor se face inainte sa se semneze contractul, dar din nou acest lucru poate sa difere de la o companie la alta.
Putem sa iti recomandam ca atunci cand faci o plata online si nu ai mai folosit acel integrator sau procesator, sa te uiti ce platesti, ce costuri aditionale poate implica plata respectiva, sau daca exista incasari suplimentare sau ulterioare. Eventual chiar poti sa faci o scurta cautare online sa vezi ce pareri impartasesc si alti cumparatori.
In cazul in care totusi s-a intamplat sa fi supra-taxat, putem recomanda sa contactezi websiteul de unde ai cumparat, iar in cazul in care nu primesti un raspuns satisfacator cererii tale, poti sa discuti si cu integratorul/procesatorul de plati. Desigur exista si optiunea refuzului de plata. Acest proces se initiaza de catre detinatorul de card la banca emitenta, insa nu garanteaza recuperarea banilor, mai ales daca atentionarile privind taxarea in plus erau destul de vizibile, iar termenii si conditiile acopera acest lucru.
Legat de websiturile clonate, chiar daca par greu de identificat, tot timpul vor exista elemente cheie care sa le deosebeasca de siteul original. Spre exemplu, una dintre cele mai usoare verificari este verificarea certificatului si a protocolului de comunicare, care in cazul de fata trebuie sa fie intodeauna https.