Weasel, the Geek

Ca tot va vorbeam eu mai devreme de social engineering - am primit pe adresa webmaster la weaselthegeek punct com 3 mailuri frauduloase. Primul l-am primit acum ceva vreme, asa ca l-am sters. La celelalte 2 nu difera decat subiectul, continutul fiind urmatorul:

Raiffeisen Bank a modificat tariful taxei de intretinere pentru conturile Raiffeisen Online.
Pentru a te informa despre schimbarile efectuate de Raiffeisen Bank urmeaza adresa web de mai jos:

http://www.raiffeisenonline.ro/ghid_utilizare.htm#cap4_10

Iti multumim ca ai ales serviciile Raiffeisen Bank

______________________________

© Raiffeisen Bank 2006

Pentru siguranta cititorilor blogului, am inlaturat link-ul de mai sus. Insa desi asa-zisa adresa Web era vizibila, de fapt link-ul era catre pagina http://074.057560575/.eBankingWeb/login.html.

Aveti grija pe ce link-uri dati click, urmariti cu atentie URL-ul in status bar si nu introduceti username-uri si parole in orice casute, oricat de veritabile ar parea, daca nu sunteti absolut siguri ca totul e in regula.

In lumea hacking-ului, social engineering-ul (ingineria sociala) reprezinta arta de a manipula oamenii pentru a-i face sa divulge informatii confidentiale. Aceasta tehnica are o importanta majora pentru hackeri si, desi foarte multe companii isi pregatesc angajatii pentru asemenea situatii, inca are un succes major. Social engineering-ul poate fi pus in practica folosind o mare varietate de combinatii. Cateva din aceste combinatii sunt explicate mai jos:

* Pretexting-ul (pretextarea) este folosirea unui scenariu imaginat pentru a convinge victima sa divulge anumite informatii. Aceasta metoda necesita in prealabil cercetari despre victima, compania la care lucreaza si/sau persoana care pretinde atacatorul ca este. Aceasta metoda este de obicei folosita prin telefon.

* Phishing-ul este o tehnica ilegala de a obtine informatii private. De obicei, atacatorul trimite un e-mail care pare ca vine de la o anumita companie sau banca, cerand date despre cartile de credit, nume de utilizatori, parole etc. O alta metoda de a folosi tehnica este prin clonarea unor situri web.

* Phishing-ul prin telefon foloseste un sistem IVR (Interactive Voice Response) pentru a recreea (clona) un sistem IVR legitim folosit de o banca sau alta institutie. Victimei i se cere sa sune la un numar de telefon pentru a “verifica” anumite date.