Dorin Sîrbu -

E-mail fals – Castig la loto

Securitate, Sfaturi

Inca un e-mail fals in care de data aceasta “victima” este anuntata de faptul ca a castigat la loto o suma imensa de bani. In schimbul acestui “noroc”, trebuie sa-si trimita datele personale la nu stiu ce adresa, care bineinteles nu apartine la nici o loterie. Probabil se urmareste furtul datelor de identificare personala, nu raspundeti la acest e-mail!


THE DESK OF THE DIRECTOR E-LOT PRIZE AWARD DEPT.
*Ref Number: UFC 73 ES 2012
*Batch Number: 444821545-NL/2010
*Ticket Number: 76545556453 098
*Winning Amount: $2,500,000.00.USD

Attn: Dear Internet User,
We are pleased to notify you the “Winner” of our last Secured Mega Jackpot
Online Sweepstakes result. This is a reward program for the patronage of
internet services and all email addresses entered for this promotional
draws were randomly selected from an internet resource database of
registered software and domain users.
You are required to establish contact with your claims agent via e-mail with the particulars presented below:
CLAIMS AGENT
Name: Mr.Damien Lewis
Tel: +31 626 006 051
Email: da_lewis@yahoo.cn
In line with the governing rules of claim, you are requested to furnish Mr.DAamien With the following information:
1. Full name…………..
2. Address…………….
3. Occupation………….
4. Tel/Fax…………….
5. Cell/Mobile………….
6. Age………………..
7. Winning Ref Number……
Congratulations!!!
Gullit Overmars
Promotions Co-ordinator
NOTE: You should contact the assigned claims agent immediately to process the remittance of the prize sum to you.

Inca un mail de phishing

Securitate

Am vorbit intr-un articol anterior despre tehnica de furt a datelor personale phishing. O sa mai prezint astfel de exemple din cand in cand, pentru a intelege si a va proteja cat mai bine impotriva acestui tip de furt de date personale.

Mesajul e-mail de mai jos a fost creat pentru a va fura datele private, legate de colaborarea cu banca si a le folosi in scop de a crea card-uri clona sau alte acte, in baza carora ulterior sa va fure banii din cont. Cu rosu am marcat link-ul, care se vede evident ca nu este catre site-ul bancii si puncteaza catre un alt site (site fantoma, care nu va mai exista in cateva ore sau zile). Cu albastru, am marcat unele greseli in text :) , lucru care o banca nu si l-ar permite.

Va listez mesajul mai jos (in loc de denimirea bancii am pus BANCA, ca sa n-o implicam inutil).

Actualizarea Informatiilor si Documentelor privind Datele de
Identificare ale clentilor se apropie de sfarsit.

BANCA isi anunta clientii ca in prezent deruleaza o
campanie de actualizare si completare a datelor de
identificare ale acestora.

Aceasta actiune este in conformitate cu Legea nr. 675/2002 cu
modificarile si completarile ulterioare si cu Regulamentul
Bancii Nationale a Romaniei nr. 9/2008 privind cunoasterea
clientelei in scopul prevenirii spalarii banilor si
finantarii terorismului, cu modificarile ulterioare.

Termenul legal pana la care actiunea de actualizare si
completare a datelor trebuie finalizata pana la 3 apriliee 2010.
Incepand cu aceasta data, accesul clientilor la conturile
proprii va fi restrictionat pana cand acestia vor da curs
solicitarii de furnizare / actualizare a datelor personale.

Tot ce trebuie sa faceti este simplu click pe linkul de mai jos
pentru actualizare si completarea datelor :

http://www.bpnotesmsgnew.com/actualizarea/datelor/personale/fastbankings.ro

BANCA multumeste anticipat tuturor clientilor pentru
sprijinul acordat in finalizarea acestei actiuni si pentru a
evita inconvenientele legate de posibila limitare a accesului
la conturile clientului, ii invita sa-si actualizeze datele
persoanele cat mai curand posibil dar nu mai tarziu de 03.04.2010.

Toate drepturile rezervate © BANCA 2006.

Combatere phishing

Securitate

Pentru o persoana simpla, cu un nivel scazut de cunostinte de procedura, tehnologie, echipamente si Internet, sa se protejeze de atacurile de tip phishing, este destul de complicat. De multe ori aceste metode de atac sunt foarte bine gandite, dar sunt cateva sfaturi, care daca sunt urmate, pot scadea dramatic rata de succes a acestor atacuri de furt a datelor personale importante si care pot face sa fiti mai in siguranta. Cateva sfaturi importante de combatere phishing sunt:

  • Niciodata nu dati nimanui, prin nici o cale, sub nici o forma, codul PIN de la card-ul vostru bancar. Nici macar personalul de la banca nu-l stie, pentru ca acordarea pin-ului este o procedura complet automatizata si nu-l stie nici operatorul de la banca.
  • Tot timpul sa aveti undeva in portofel notate numerele de telefon oficiale si adresa oficiala de site a institutiilor financiare cu care colaborati. Daca nimeriti intr-o situatie, cum ar fi blocarea cardului de catre bancomat, sa puteti suna unde trebuie si sa aveti raspunsul corect (atentie iarasi, un angajat de la banca nu va va cere PIN-ul sau parola niciodata).
  • Niciodata nu exista “proceduri rapide” la o institutie bancara. Chiar si daca sunteti intr-un astfel de caz si vi se pare ca ar trebuie sa reactionati rapid, mai intai se recomanda sa confirmati acea procedura pe numarul OFICIAL de telefon, pe care l-ati notat anterior si il pastrati in portofel.
  • Niciodata nu completati formulare, care sa includa date personale, pe site-uri care nu ati auzit de ele sau au denimiri suspecte.
  • Parolele pe care le aveti la diverse conturi (oricare), este foarte recomandat sa nu le stie nimeni, deoarece in majoritatea cazurilor sunt criptate in baza de date si nici macar furnizorii de servicii, care v-au oferit acel cont nu le cunosc in clar, lucru pentru care nu exista sa vi se spuna parola pe care o aveati ci vi se da o alta parola in cazul in care ati uitat-o pe cea veche. Atentie la denumirea site-ului cand va autentificati cu utilizator si parola!
  • Niciodata nu transmiteti prin telefon, catre persoane necunoscute, datele voastre personale importante, deoarece institutiile cu care colaborati le au deja si nu mai au nevoie de ele. Sunt sanse mari sa fie un atacator. De obicei, o institutie financiara, daca are nevoie de o confirmare sau o modificare de date personale, va cheama la ei, cu acte fizice si va pun sa semnati suplimentar si un document.
  • Daca aveti indoieli de vizita “neprogramata” a unui reprezentant, care va cere mai multe date personale decat “ar trebui”, este recomandat sa faceti o verificare telefonica pe numarul OFICIAL, daca intr-adevar acea persoana reprezinta institutia respectiva si trebuia sa efectueze acea vizita.
  • Niciodata nu utilizati “aparate suspecte” sau aparate care au “echipamente suspecte” sau “artizanale” montate pe ele. Aceste echipamente pot fi montate ca sa va fure datele personale.
  • Niciodata nu efectuati operatiuni financiare la aparatele publice (bancomate, POS, autoservire, etc.), daca nu puteti introduce datele sensibile in siguranta, intimitatea si distanta minima nu trebuie sa fie incalcata. Orice persoana “prea aproape” si “prea ajutatoare”, poate fi un “atacator suspect”.
  • Nu ezitati sa cereti explicatii pentru “operatiunile” nereusite in cazul unei tranzactii la POS. Lucru util in special in locurile “noi in care nu ati mai fost niciodata”.
  • Cand aveti o problema cu un echipament financiar (bancomat, aparate de reincarcare, aparate de autoservire s.a. aparate care implica “bani”), evitati pe cat posibil persoanele “suspect de saritoare la nevoie” si comunicati cu suportul OFICIAL, prin caile OFICIALE, ei sunt cei mai in masura sa va ajute.

Phishing prin contact direct

Securitate

Phishing prin contact direct, este o forma de furt a informatiilor, cand o persoana se prezinta drept “reprezentant” al unei institutii financiare, care neanuntat face un “sondaj prea avansat si cu prea multe date” si/sau “trebuie sa va rezolve urgent o problema”.  De obicei la institutiile financiare exista o procedura mai lunga pentru astfel de cazuri si in toate cazurile in care sunteti nevoit sa “faceti in graba” ceva iarasi legat de datele voastre personale importante, de obicei nu este bine.

De obicei in cazurile acestea verificati identitatea persoanei si daca vi se pare suspecta, nu ezitati sa sunati la un telefon OFICIAL la banca sau alta institutie pe care o reprezinta si sa verificati, daca intr-adevar acea persoana trebuie sa efectueze acea operatiune si este cine pretinde.

Phishing prin utilizarea de echipamente false

Securitate

Phishing-ul prin utilizarea de echipamente false este mai des intalnit decat pare. El consta in furtul informatiilor prin prezentarea unei “fatade false” (aplicate unui bancomat) sau al unui echipament fals (POS fals), care emuleaza in tocmai echipamentul original. Scopul acestor echipamente este sa copieze informatiile si sa le stocheze, pentru crearea ulterioara de clone si utilizarea lor in scopuri de furt. Un exemplu simplu ar fi o fatada la un bancomat, care citeste  datele card-ului vostru si care va filmeaza in timp ce introduceti PIN-ul. Un alt exemplu, este prezentarea unui POS fals (aparat mai mic, prin intermediul caruia se plateste cu cardul, de obicei la magazin). Schema consta in urmatoarele, se prezinta un POS fals, se incearca o plata cu cardul si introducerea PIN-ului, care de obicei esueaza, dupa care se prezinta alt POS, de data aceasta cel original, cu care “se incearca inca odata” si de acea data se reuseste. Ceea ce se intampla este de fapt ca in “incercarea nereusita” primul POS a copiat datele card-ului si PIN-ul, pe care le-a stocat undeva si in baza acestor date va fi creat un card “clona” care va fi folosit pentru cumparaturi sau chiar pentru scoaterea banilor de pe card-ul original. Sfaturi in acest caz ar fi:

  • Este un lucru mai dificil de facut, dar tot timpul sa verificati daca nu sunt prezente alte echipamente decat “cele de obicei” pe un echipament pe care il stiati dinainte.
  • Studiati daca in jurul unui echipament nu se afla mai multe persoane “suspecte” cu un comportament “neadecvat”. Este OBLIGATORIU ca celelalte persoane necunoscute din jurul vostru sa pastreze o distanta de minim 1 metru. Orice persoana care incalca insistent acea distanta, poate fi incadrat la categoria “suspect atacator”.
  • Tot timpul sa cereti si sa pastrati o vreme bonurile de “nereusita” ale unei tranzactii financiare.
  • Nu ezitati sa intrebati motivul de nereusita al unei tranzactii si sa verificati pe bon daca acest motiv coincide cu lucrurile spuse de operator.
  • De obicei, pana la urma trebuie sa se reuseasca tranzactia pe ACELASI POS (cu exceptia unor cazuri de probleme tehnice oficial recunoscute, dar de obicei acel POS nu se mai foloseste)