Exemplos de Phishing
Atualizado: 23 de jul. de 2020
Nas últimas três semanas publiquei alguns artigos com informações sobre tipos de vírus e como acontecem seus ataques: Ransomware, Phishing e Cryptojacking. A ideia era ampliar o conhecimento sobre o assunto e apresentar algumas ações que, tanto no nível pessoal quanto no corporativo, pudessem ajudar a minimizar a disseminação deste problema.
Uma das informações apresentadas foi o fato de que, embora o e-mail ainda seja a forma mais utilizada em ataques, outras formas vêm apresentando considerável crescimento em função da facilidade de sua disseminação.
Vamos analisar aqui exemplos de mensagens que recebi em meu celular particular via SMS nesta última semana.
As duas mensagens tinham o mesmo objetivo: me induzir a acessar um site que simula o do banco que tenho conta corrente e a atuar para resolver o problema, evitando perder o acesso a minha conta corrente ou ao meu token.
Este tipo de ataque já ocorria em grande número, mas cresceu exponencialmente com o COVID-19 e o receio das pessoas de terem de enfrentar uma fila em sua agência bancária para resolver um problema ou ficar sem acesso a sua conta bancária.
Análise
O primeiro exemplo tem por objetivo que você informe sua agência, conta e senha eletrônica do Itaú. A agência e conta são validados no primeiro passo, para que você ache que realmente está informando os dados corretos, recusando a informação de uma agência ou conta inexistente. Em seguida você é direcionado a uma página para ativar o seu dispositivo. Nela você deve informar o número de seu telefone e a senha do cartão. E para que o golpe possa prosseguir de forma offline, é exibida uma mensagem informando que o seu iToken está desabilitado e que deve aguardar um contato por telefone de um analista nos próximos 5 dias úteis.
O que o atacante conseguiu: confirmar seu número de telefone, o número de sua agência e conta corrente, sua senha eletrônica e a senha do seu cartão. E o mais importante, você está “pronto” para receber uma ligação de alguém se passando por um analista do Itaú que de posse desses dados pode tentar obter mais informações, seja para prosseguir com o levantamento de informações, seja para induzir você a realizar uma operação de transferência ou pagamento de alguma conta.
Tudo isso tendo como ponto de partida um simples SMS enviado ao seu celular onde a única informação de que o atacante dispõe é o próprio número do celular.
Imagens capturadas na simulação:
Quais informações podemos obter do ataque?
A mensagem foi recebida via SMS de um telefone com DDD 84, Rio Grande do Norte.
O site itau.cadastramobile.com foi criado no dia 27/06/2020 e sua titularidade (quem é o dono) está protegida por um serviço que impede que outros identifiquem o real proprietário do domínio, neste caso o WhoisGuard Protected.
O certificado seguro do site é inválido pois foi emitido para bradesco.cadastramobile.com. Aqui os atacantes cometeram um deslize.
Ao prosseguirmos somos direcionados a um novo site: mobile.itauclientes.online.
O site itauclientes.online foi registrado em 01/05/2020 e a titularidade também está protegida.
Os dois sites apresentam características de design bastante similares a do Itaú.
Os sites estão hospedados em uma VPS (de forma simplificada, uma espécie de cloud) no provedor OVH.
O site cadastramobile.com não estava, até o momento em que este artigo foi redigido, categorizado em 9 dos principais fabricantes de firewall. Ou seja, o filtro de navegação destas soluções não bloquearia a navegação neste endereço caso a navegação em sites não categorizados estivesse liberada.
O site itauclientes.online não estava, até o momento em que este artigo foi redigido, categorizado em 8 dos principais fabricantes de firewall. Ou seja, o filtro de navegação destas soluções não bloquearia a navegação neste endereço caso a navegação em sites não categorizados estivesse liberada. No nono fabricante, o site estava categorizado como Parked, que normalmente estaria bloqueado, embora classificado como de baixo risco.
O site que simularia o Banco do Brasil já estava suspenso pelo provedor no momento em que tentamos acesso, não sendo possível uma análise das ações do atacante.
Lições aprendidas
Nunca clique em links recebidos via SMS, WhatsApp, redes sociais ou e-mail. Sou cliente de um dos bancos citados anteriormente e na semana passada recebi um SMS do banco informando que eles não solicitam que seja feito estorno ou pagamentos por mensagem. Certamente esta mensagem não foi enviada sem que tenham detectado algum tipo de ataque ou de reclamação de clientes neste sentido.
A mensagem recebida de meu banco não veio de um número de celular comum, mas sim de um número de 5 dígitos conhecido como short code. Mas, mesmo assim, não se deve clicar em link SMS.
Ficou na dúvida sobre um e-mail ou mensagem recebido? Entre em contato com o telefone de atendimento de seu banco ou empresa de prestação de serviços.
Se por acaso caiu no golpe e informou dados na internet não interaja com alguém que entre em contato com você, se passando por um atendente. Ligue diretamente para seu banco, preferencialmente de outro aparelho, ou se dirija a sua agência bancária e procure seu gerente.
Analise cuidadosamente como o nome do site que irá acessar está escrito. Desconfie de nomes parecidos com o de seu banco. Devemos concordar que mobile.itauclientes.online e bbvoce.co são nomes sugestivos para os clientes dessas instituições. Certifique-se que está acessando o site de seu banco. Dê preferência sempre que possível, aos aplicativos de celular ou de computador fornecidos pelas instituições bancárias.
E o principal: o objetivo do atacante é usar o medo para induzi-lo ou interesse o fazendo crer que terá algum benefício (ou prêmio) se seguir os passos informados. Eles são preparados para trabalhar com os medos, fragilidades, interesses e, em alguns casos, o desejo de levar vantagem. Em caso de dúvida desconfie. Fale com seu banco e obtenha informações de como proceder.
Para as empresas, o treinamento e conscientização dos funcionários são críticos. Os profissionais, independentemente de serem da área de TI, devem saber o que fazer – e o que não fazer –, para evitar e denunciar o que considerarem ataques. Crie programas de treinamento, ciclos de workshops, comunicados internos entre outros sobre o assunto. Divulgue nos treinamentos e comunicados problemas que ocorreram em outras empresas, demonstrando os impactos operacionais, financeiros e de reputação decorrentes do ataque. Torne este treinamento periódico de modo a que o assunto não caia no esquecimento.
Analise criteriosamente as restrições de navegação por classificação/categorização de URL. Verifique se realmente deseja permitir a navegação para sites não categorizados. Uma análise de custo (possíveis reclamações de usuários, bloqueios a recursos necessários etc) x benefício (navegação permitida apenas após categorização inicial) deve ser realizada para identificar o que é melhor para seu negócio.
DISCLAIMER
As instituições citadas neste artigo – Itaú, Banco do Brasil, OVH e NameCheap – foram notificadas através de seus canais de segurança sobre as informações aqui apresentadas de modo a tomarem as atitudes que considerem adequadas.
Os acessos para a elaboração deste artigo e coleta das informações foram realizados em um LiveCD Linux em ambiente virtualizado. Não tente acessar algum dos sites listados, ou principalmente clicar em algum link, em uma máquina de trabalho ou pessoal. Seu dispositivo pode ser infectado por malware.