Exemplu de phishing, ținta: clienții cu conturi ROMARG

Astăzi am primit un e-mail de la „ROMAR” care mă atenționa ca sunt un client suspect. Bineînțeles că am realizat în primele secunde că este vorba de un e-mail suspect și l-am deschis pentru a-l analiza:

Am marcat cu roșu în captura de ecran semnele vizuale ale unui phising:

• Deși în semnătura din e-mail este trecută firma ROMARG, cu adresa corectă, în rubrica from este menționat expeditorul „ROMAR”, o firmă cu o bună reputați nu face astfel de greșeli.
• prima menționare în corpul e-mailului a furnizorului de servicii Romarg are înroșite literele cu excepția primei, așa ceva nu se practică.
• există un link în e-mail care te îndeamnă să contactezi banca pe site-ul furnizorului de servicii, acesta este scopul acestui e-mail, pentru că, analizând această legătură, veți observa că nu vă va duce către site-ul Romarg, așa cum lasă să se înțeleagă, ci către un site, itdoesmove .com, care probabil folosește o instalare wordpress, dar ne mai fiind actualizată, a fost virusată. Am dedus acest lucru văzând calea din site: /wp-admin/DU/. Cel mai probabil, în folderul DU cineva a instalat fraudulos un script (virusul) care te va redirecționa către o altă pagină web unde vei fi îndemnat să introduce date bancare
• formatul numărului de telefon nu este corect, dacă se folosește prefixul de țară, acesta ar trebui să înceapă cu 00 sau +

Pentru a vedea de unde provine cu adevărat e-mailul, se poate deschide meniul Headers din antetul e-mailului care ne arată de pe ce server a fost expediat cu adevărat mesajul: www513b.sakura.ne.jp!

Este curios faptul că acest e-mail mi-a venit pe o adresă pe care am folosit-o pentru a crea un cont pe ROMARG, de aici aș putea bănui o posibilă scurgere de informații din baza de date a celor care se ocupă cu facturarea la ROMARG!