IWS - The Information Warfare Site
News Watch Make a donation to IWS - The Information Warfare Site Use it for navigation in case java scripts are disabled

CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS

*****************
ADVISORY
*****************

Number: AV04-028
Date: 6 July 2004

*****************************
Hackers grab bank details with fake ad
*****************************

PURPOSE
The purpose of this advisory is to bring attention to Hackers who have found a new method of stealing bank details from home computers.

ASSESSMENT
Img1big.gif is a file containing a Trojan named pwsteal.refest. It attempts to secretly install itself on the computer and steel confidential information.

A virus uncovered last week was hidden inside so-called "pop-up" advertisements that appeared on screen without warning, experts have warned.

Clicking on the "close" button to get rid of the advert triggered the virus to attempt to secretly install itself on the computer. The bug was programmed to wait until the user began logging on to their internet bank account where it tried to steal personal details, such as passwords, before the information reached the bank. When Internet Explorer makes an HTTP POST request to one of these domains (for example, when the user submits a web form at a bank site), the Trojan also sends the information to a cgi script at www.refestltd.com.

The new Trojan was aimed at customers of nearly 50 banks around the world including:

* .anz.com
* .bendigobank.com.au
* .citibank.com
* .citibank.de
* .commbank.com.au
* .dab-bank.com
* .deutsche-bank.de
* .e-gold.com
* .hsbc.com.au
* .hsbc.com.hk
* .online-banking.standardchartered.com.hk
* .sparkasse-banking.de
* .stgeorge.com.au
* banking.lbbw.de
* banking.mashreqbank.com
* banknetpower.net
* barclays.co.uk
* cd.citibank.co.ae
* cibconline.cibc.com
* citibank.com.au
* dit-online.de
* easyweb.tdcanadatrust.com
* ebank.uae.hsbc.com
* ekocbank.kocbank.com.tr
* hercules.pamukbank.com.tr
* internetsube.akbank.com.tr
* lloydstsb.co.uk
* national.com.au
* nbd.ae
* online-banking.standardchartered.ae
* online.nbad.com
* pbg1.edc.citiaccess.com
* standardchartered.com
* suncorpmetway.com.au
* westpac.com.au
* www.alahlionline.com
* www.almubasher.com.sa
* www.arabi-online.com
* www.cbdonline.ae
* www.citibank.com.hk
* www.dahsing.com
* www.ebank.iba.com.hk
* www.privatebank.citibank.com.sg
* www.sabbnet.com
* www.samba.com
* www.scotiaonline.scotiabank.com
* www.unb.com
* www1.bmo.com
* www1.royalbank.com

SUGGESTED ACTION
PSEPC recommends that you ensure your anti-virus detection software definitions are current.

Additional information about this worm is available at the following links:
http://reg.smh.com.au/splash.do?site=SMH&server=http:%2f%2fwww.smh.com.au&retn=%2farticles%2f2004%2f07%2f05%2f1088879407085.html
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.refest.html

CONTACT US
For urgent matters or to report any incidents, please contact PSEPC's Emergency Operations Centre at:

Phone: (613) 991-7000
Fax: (613) 996-0995
Secure Fax: (613) 991-7094
Email: opscen@ocipep-bpiepc.gc.ca

For general information, please contact PSEPC's Public Affairs Division at:

Phone: (613) 944-4875 or 1-800-830-3118
Fax: (613) 998-9589
Email: communications@ocipep-bpiepc.gc.ca
Web Site: www.ocipep-bpiepc.gc.ca


NOTE TO READERS

PSEPC's role is to provide national leadership on critical infrastructure protection and effective emergency management. To fulfill this role, PSEPC collects information related to cyber and physical threats to, and incidents involving, Canadian critical infrastructure (CI). This information allows PSEPC to monitor and analyse threats to our CI and to issue alerts advisories and other information products to our partners. To report CI threats or incidents to PSEPC, please contact our operations coordination centre at (613) 991-7000 or at opscen@ocipep-bpiepc.gc.ca

Unauthorized use of computer systems and mischief in relation to data are serious Criminal Code offences in Canada. Any suspected criminal activity should be reported to local law enforcement organizations. The RCMP National Operations Centre (NOC) provides a 24/7 service to receive such reports or to redirect callers to local law enforcement organizations. The NOC can be reached at (613) 993-4460.

National security concerns should be reported to the Canadian Security Intelligence Service (CSIS).

For general information on PSEPC, please contact our Communications division
at:

Phone: (613) 944-4875 or 1-800-830-3118
Fax: (613) 998-9589
Email: communications@ocipep-bpiepc.gc.ca
Web Site: www.ocipep-bpiepc.gc.ca

==================================================


SÉCURITÉ PUBLIQUE ET PROTECTION CIVILE CANADA

************************
AVIS DE SÉCURITÉ
************************

Numéro: AV04-028
Date: 6 juillet 2004

*****************************
Les pirates informatiques s'emparent de détails bancaire avec de fausse annonce Web
*****************************

BUT
Cet avis de sécurité amène l'attention aux Pirates informatiques qui on trouvé une nouvelle méthode de voler les détails de banque des ordinateurs domestiques.

ÉVALUATION
Img1big.gif est une fillière qui contient un ver de Troie ce nommant pwsteal.refest. Il tente secrètement de s'installer sur l'ordinateur et volé de l'information confidentielle.

Un ver de Troie fut découvert la semaine dernière à l'intérieur d'annonces prétendues "instantanées" qui apparaissent sur l'écran sans avertissement.
En cliquant sur le bouton "fermé" pour ce débarrasser de l'annonce, ça va automatiquement déclenché le virus pour essayer de s'installer secrètement sur l'ordinateur. Le bogue a été programmé pour attendre jusqu'à ce que l'utilisateur ait commencé à entrer son information bancaire dont celui-ci vas essayé de voler les détails personnels, tels que les mots de passe, avant que l'information ait atteint la banque. Quand Internet Explorer fait une demande à un de ces domaines avec la commande «HTTP REQUEST» (par exemple, quand l'utilisateur soumet une forme d'enchaînement à un emplacement de banque), le ver de Troie envoie également l'information à un
manuscrit de cgi à www.refestltd.com.


Le nouveau Trojan vise les clients de presque 50 banques autour du monde comprenant :

* .anz.com
* .bendigobank.com.au
* .citibank.com
* .citibank.de
* .commbank.com.au
* .dab-bank.com
* .deutsche-bank.de
* .e-gold.com
* .hsbc.com.au
* .hsbc.com.hk
* .online-banking.standardchartered.com.hk
* .sparkasse-banking.de
* .stgeorge.com.au
* banking.lbbw.de
* banking.mashreqbank.com
* banknetpower.net
* barclays.co.uk
* cd.citibank.co.ae
* cibconline.cibc.com
* citibank.com.au
* dit-online.de
* easyweb.tdcanadatrust.com
* ebank.uae.hsbc.com
* ekocbank.kocbank.com.tr
* hercules.pamukbank.com.tr
* internetsube.akbank.com.tr
* lloydstsb.co.uk
* national.com.au
* nbd.ae
* online-banking.standardchartered.ae
* online.nbad.com
* pbg1.edc.citiaccess.com
* standardchartered.com
* suncorpmetway.com.au
* westpac.com.au
* www.alahlionline.com
* www.almubasher.com.sa
* www.arabi-online.com
* www.cbdonline.ae
* www.citibank.com.hk
* www.dahsing.com
* www.ebank.iba.com.hk
* www.privatebank.citibank.com.sg
* www.sabbnet.com
* www.samba.com
* www.scotiaonline.scotiabank.com
* www.unb.com
* www1.bmo.com
* www1.royalbank.com

MESURE PROPOSÉE
SPPCC recommande que vous vous assuriez que vos définitions de logiciels antivirus sont à jour.

Pour de plus amples renseignements au sujet de ce ver, veuillez vous reporter aux liens suivants :
http://reg.smh.com.au/splash.do?site=SMH&server=http:%2f%2fwww.smh.com.au&retn=%2farticles%2f2004%2f07%2f05%2f1088879407085.html
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.refest.html

Avis aux lecteurs

Sécurité publique et Protection civile Canada (SPPCC) recueille des renseignements concernant les menaces et les incidents cybernétiques et matériels contre les infrastructures essentielles (IE) du Canada. Ceci permet à SPPCC de surveiller et d'analyser les menaces et de diffuser des alertes, des avis de sécurité, ainsi que d'autres produits d'information à nos partenaires. Pour signaler menaces ou incidents, veuillez communiquer avec le centre de coordination des opérations de SPPCC au (613) 991-7000 ou à opscen@bpiepc-ocipep.gc.ca par courriel.

L'utilisation non autorisée des systèmes informatiques et les méfaits relatifs aux données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la GRC est ouvert tous les jours, 24 heures sur 24, pour recevoir de tels rapports ou pour réacheminer les appels aux organismes locaux d'application de la loi. Vous pouvez joindre le CNO au (613) 993-4460. Les préoccupations portant sur la sécurité nationale doivent être signalées au Service canadien du renseignement de sécurité (SCRS) au (613) 993-9620.

En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations d'urgence du SPPCC au :

Téléphone : (613) 991-7000
Télécopieur : (613) 996-0995
Télécopieur sécuritaire : (613) 991-7094
Courriel : opscen@sppcc-psepc.gc.ca

Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec notre direction des Affaires publiques.

Téléphone : (613) 944-4875 ou 1-800-830-3118 Télécopieur : (613) 998-9589 Courriel : communications@bpiepc-ocipep.gc.ca
Site Web : www.sppcc.gc.ca