Trei atacuri de tip phishing au implicat din nou Raiffeisen, la numai cateva zile dupa cel de joi. E-mailurile au sosit la cateva ore distanta unul de celalalt, sporind astfel sansa ca acestea sa fie luate in serios, din moment ce a doua serie avertiza cu privire la prima.

Primul mail venea, la prima vedere, de pe adresa online@raiffeisen.ro, si continea urmatorul text:

Pentru securitatea dumneavoastra si evitarea pierderii de date deblocarea contului tau Raiffeisen Online se va face din formularul atasat email-ului. Va multumim pentru colaborare.

Acesta continea un "formular", in fapt o pagina .html ce trimitea utilizatorul care o accesa la adresa http://0xD8D764A3/online.html. Pagina a fost downloadata de pe un server cu IPul 216.252.110.31, primul indiciu cu privire la incercarea de escrocherie.

La o privire mai atenta, observam si ca de fapt mesajul nu a fost trimis de pe "raiffeisen.ro", ci de pe "mail.chasetower.com". O sa va explic imediat si cum puteti face aceasta verificare, in caz ca primiti mailuri pe care le suspectati.

Daca folositi Yahoo, atunci e vorba de un simplu click pe Full Headers. Am incadrat locatia acestuia intr-un chenar rosu in imaginea urmatoare. Fara sa dati click, mailul arata ca in primul print-screen. Dupa ce ati dat click, veti observa ca acum aveti date mai amanuntite despre expeditor:

Phishing Raiffeisen - fara Full Headers

Foto: TownPortal

Phishing Raiffeisen - cu Full Headers

Foto: TownPortal

mta437.mail.re4.yahoo.com from=raiffeisen.ro; domainkeys=neutral (no sig); from=raiffeisen.ro; dkim=neutral (no sig) Received: from 75.34.142.25 (EHLO mail.chasetower.com) (75.34.142.25) by mta437.mail.re4.yahoo.com with SMTP; Sun, 08 Mar 2009 23:51:37 -0700

Asadar, semnatura