Cabeçalho do site

Barra de acessos extras do site

Barra de acessos extras do site

English Português Español

Área de acessos a todo o site

Página de apresentação de um artigo

Banner do artigo

Conteúdo do artigo

Minúcias de um caso de Phishing: pequenos detalhes para ter em conta

Informações do artigo

  • 20

A campanha de phishing que analisamos e compartilhamos no post de hoje é um pouco mais sofisticada do que a maioria que vemos todos os dias, assim que poderemos revelar algumas práticas que visam evitar que usuários sejam vítimas das mesmas.

O primeiro contato do usuário com o ataque, como de costume, é por e-mail, como vemos na imagem seguinte:

O e-mail contém o nome e o logotipo reais do banco em questão, porém o endereço do remetente apresenta um detalhe curioso: onde deveríamos ver “Brasil”, está escrito “Brasll”…3 vezes! O detalhe é minúsculo, porém muito relevante: os erros de ortografia costumam tirar a credibilidade desses ataques. Vejamos mais detalhes da parte inferior do e-mail na imagem abaixo:

Como costumamos ver em fraudes como essas, o site tenta convencer o usuário a clicar em um link, porém o endereço do site visível na parte inferior da tela quando paramos o mouse no link mostra um URL completamente diferente.

Com esses dados na mão, o usuário jamais deveria seguir adiante, está claro que se trata de uma campanha de phishing.

No ambiente protegido e controlado do nosso Laboratório de Investigação da ESET Brasil, continuamos com a análise para ver que tipo de dados esse atacante em particular está procurando. A próxima imagem mostra uma mistura de truques bem elaborados e erros clássicos:

  1. Os atacantes criaram um domínio válido (.com.br). Normalmente o endereço falso que vemos em casos de phishing é uma IP (192.155.x,x). O uso de um domínio dá mais “credibilidade” à fraude.
  2. O URL do site falso não começa com https:// (ou seja, os dados intercambiados com as páginas não são criptografados). Nenhum banco oferece serviços online sem criptografar seus dados antes.
  3. O desenho da página está bem feito, os números telefônicos de suporte são válidos.
  4. Ao utilizar um browser para acessar o site legítimo do banco, vemos que o site real é bem diferente, o que podemos ver na captura de tela abaixo:

Como podemos observar, o site legítimo apresenta o protocolo HTTPS por todos os lados.

As quatro imagens seguintes mostram como a fraude continua e que dados são solicitados pelos cibercriminosos:

Os atacantes começam solicitando o número da agência, conta corrente e uma senha de 6 números. Esses dados não são revalidados, já que nesse caso colocamos números aleatórios e conseguimos acessar a página seguinte.

Os próximos dados solicitados são: número de telefone, CPF e a senha previamente “inventada” na página anterior.

O próximo dado solicitado é uma senha de 4 números que supostamente utilizamos para acessar o phone banking. Ao colocar uma senha, a página apresenta um erro, mas ao ingressar outra senha (ou a mesma), o site avisa que a operação foi realizada com sucesso.

O dano causado nesse delito é gravíssimo, já que a vítima distraída presenteou ao atacante seus dados pessoais (CPF, número de telefone, etc.) e também seus dados bancários. Esses dados sensíveis chegam ao atacante em texto plano (sem criptografia), como observamos na imagem seguinte:

Como já haviamos comentado em nosso post sobre a Engenharia Social, ese tipo de ataque é responsável por 77% dos ataques “sociais” denunciados: 37.3 milhões de usuários reportaram ataques de phishing no ano passado.

Fonte: BlogEset

Menu voltado para os artigos