Atentie! phishing pe Ministerul Finantelor – taxe si impozite!

Tocmai am primit un mail precum ca este trimis de Ministerul Finantelor Publice,serviciul taxe si impozite.
Mail-ul arata asa:

Dupa ultimele calcule ale activitatii dumneavoastra anuale am stabilit ca va sunt eligibile pentru primirea
unei rambursari a impozitului in conformitate cu sectiunea 501 (c).
Valoarea impozitului returnat este de 473,27 RON.
Va rugam sa ne trimiteti cererea de rambursare a impozitului si sa asteptati 6-9 zile pentru verificarea datelor introduse.
Pentru a accesa formularul de plata va rugam sa va completati datele aici :

http://www.mfinante.ro/acasa.html?method=rambursare&pagina=52155

Aceasta notificare a fost trimisa de catre Ministerul Finantelor Publice , Biroul de plati pentru persoane fizice.

MINISTERUL FINANTELOR PUBLICE
Serviciul de Comunicare si Relatii Publice
sef serviciu : Cristian Marin

(clik pe foto pentru a mari imaginea)

Insa la o analiza mai amanuntita observam ca adresa de mail nu este corecta, scrie serviciu@mfi.com, ci nicidecum adresa corecta a Ministerului publicinfo@mfinante.ro, puteti consulta lista cu adresele de mail de la Ministerul Finantelor aici Adresa reala este cu .ro la sfarsit ci nicidecum cu .com
Alinierea textului este groaznica, parca ar fi un text scris de un copil de clasa a doua
Se pare ca destinatarul lipseste,ci apare
From:
“Ministerul Finantelor Publice”
Add sender to Contacts
To:
undisclosed-recipients
Deci se observa din start ca e spam.In full headers, obervam ca sa trimis acest mail folosind cu proxy anonim sau socks (24.73.194.238) -u.s.a
Programul de pe care s-a trimis este : X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Link-ul din mail “http://www.mfinante.ro/contacte.html?pagina=acasa” are redirectionare catre “http://miscfirnante.com/finante/index.html” (pagina fake facuta de lamer) ci nicidecum spre pagina pe care e descrisa.Aveti mai jos un screenshot,da-ti clik pe imagine pentru vizualizare full

La analiza web-ului (site-ului fake) putem observa ca banner-ul este asezat in stanga,ci nicidecum central asa cum apare pe pagina oficiala, directoarele in care s-au uploadat fisierele sunt :
cale director (acces prin ftp) – htdocs,public_html,etc urmat de :
/finante/index.html
/finante/complete.html
/finante/login.php
/finante/images – director in care observam – bannernou.gif , help.gif , icon_protected.gif

http://miscfirnante.com/finante/images/bannernou.gif

http://miscfirnante.com/finante/images/help.gif

http://miscfirnante.com/finante/images/icon_protected.gif

In index.html obervam in sursa pagini : redirectionarea butonului “continuare” catre acest script numit login1.php. Acesta este scriptul care trimite datele introduse pe site de catre dvs in mail-ul escrocului, si bineinteles ca simuleaza si o greseala de autentificare,redirectionand spre complete.html

Ce am mai observat au mai fost doua redirectionari spre http://ucables.com/img/master-cvc2.jpg, unde aici e un link catre o imagine,iar la pagina https://www.activare3dsecure.ro/c/enroll/terms.php?sid=48cc30580cd42157e82a4d696ed41e1d1b3f41a6 este cu redirectionare spre site-ul fake apasand butonul inapoi,probabil vroia sa ofere credibilitate, insa acesta este un Sistem de testare comercianti 3DSecure,deci oricine putea sa faca acest lucru,tot ce trebuie facut este sa faceti un cont pe activare3dsecure.ro
In plus lipsesc elementele de securiate pe care orice site care foloseste servicii de plati online este obligat sa le reprezinte.De exemplu (www.paypal.com),casuta din broswer-ul dvs in care tastati adresa de internet spre a naviga pe pagina respectiva, se face verde, plus multe altele..

Concluzie : Contul miscfirnante.com a fost construit cu siguranta cu vreo carte de credit extrasa prin varianta phishing

Domain name: miscfirnante.com

Registrant Contact:
Wesley Garcia
Wesley Garcia ()

Fax:
20 East Perry Street rear
Tiffin, OH 44883
US

Administrative Contact:
Wesley Garcia
Wesley Garcia ()
+1.5672078430
Fax:
20 East Perry Street rear
Tiffin, OH 44883
US

Technical Contact:
Wesley Garcia
Wesley Garcia ()
+1.5672078430
Fax:
20 East Perry Street rear
Tiffin, OH 44883
US

Status: Locked

Name Servers:
a.dns.hostway.net
b.dns.hostway.net

Creation date: 25 Nov 2010 03:17:00
Expiration date: 24 Nov 2011 22:17:00

Adresa de e-mail a lamerului este cleatrata71@yahoo.com
Informatiile despre domeniu le puteti vizualiza aici clik aici
Dupa ce a cumparat acest domeniu, lameru a uplodat fisierele necesare pentru atacul de phishing si a folosit cum am spus mai sus un proxy anonim sau un socks,dupa care a trimis spam,de pe pc-ul lui personal folosind cu siguranta sistemul de operare “WINDOWS”, cea ce reprezina ca habar nu are cum se face un phishing ca sa para cat mai real. Eu cel putin il numesc un script kiddie, ci nicidecum hacker precum vroia el sa para.Pun pariu ca fisierele facute de el le-a primit de la altcineva sau “echipa” din care face parte e la fel de script kiddies.Mai jos va afisez ce spun cei de la Ministerul Finantelor. Oricum sper sa se rezolve cat mai urgent si acel script kiddie sa plateasca cum se cuvine.Acestia isi merita soarta (parerea mea).Da-ti clik pe imagine pentru marire.

Inca odata va spun si am mai spus daca cititi cu atentie articolele din acest blog.Nu da-ti clik pe link-uri din e-mail si nu introduceti niciodata datele personale,conturi,etc din link-uri de e-mail.Verificati cu atentie header-ul mail-ului si raportatil de urgenta autoritatiilor.Autoritatiile sunt singurii in masura care pot stopa astfel de cauze,iar identificarea escrociilor de poate face in astfel de cazuri doar in colaborare cu autoritatiile din tara respectiva (ex: u.s.a). In loguriile provideriilor de internet apare ip-ul real care a accesat acel proxy (instalat pe vre-un server client) pentru a trimite spam,sau in adresa de e-mail pe care a avuto scrisa in sursa scriptului php.Ip-urile de pe care a accesat mailul se poate verifica de catre compania respectiva (yahoo,gmail,etc)dar cu acordul autoritatiilor din tara respectiva.Anyway sunt foarte multe posibilitati care te pot duce direct acasa la escroc.

NEW update!: fincminister.com – exact aceasi problema cu acest domeniu – detalii despre domeniu aici http://whois.domaintools.com/fincminister.com
mail: cleatrata82@yahoo.com . Cu siguranta daca cautam gasim zeci de astfel de domenii “fantoma”. Acest domeniu a fost cumparat cu aceeasi carte de credit pe numele Wesley Garcia, cu care a cumparat si domeniul descris mai sus,se pare ca lameru nu se lasa asa usor..