A cada campanha de propagação de trojans bancários no Brasil, são utilizados e-mails falsos para enganar os usuários de Internet banking através do uso de engenharia social. Ao analisar mais uma ameaça do tipo descobrimos como os criminosos virtuais fizeram para roubar mais de oito mil senhas de Hotmail em poucos dias.
Para alcançar seu objetivo, os criminosos realizam o que se conhece como um ataque de pharming local, no qual através da modificação do arquivo hosts o usuário é redirecionado a uma página falsa, para roubar suas chaves de acesso. O ataque é simples: a vítima acessa o site, acredita que está entrando em sua caixa de e-mail, e tenta iniciar sessão. Porém, ao inserir seus dados para iniciar sessão, recebe uma mensagem de erro.
O que realmente ocorre é que a pessoa caiu no ataque, e suas credenciais foram parar nas mãos dos criminosos, que poderão utilizá-las para continuar propagando essa ameaça a todos os seus contatos. A seguir, podemos observar o que realmente está armazenado neste servidor:
Na imagem anterior, é possível observar parte dos arquivos de texto onde se armazenam mais de 27 mil credenciais de usuários do Hotmail em 13.406 arquivos de texto, criados entre 21 e 26 de julho somente. Atualmente, o site já está fora do ar.
No Laboratório da ESET América Latina, fizemos uma análise da informação contida no site, e da eficácia desse ataque. Durante um total de seis dias de atividade, os usuários cujos computadores foram infectados pela ameaça geraram um total de 27.211 registros de e-mail e senha.
Do total de dados roubados, foram encontrados 8.223 endereços de e-mail únicos, o que resulta em uma média de três acessos por usuário que não conseguiram reconhecer uma página falsa, em um total de seis dias de atividade do site malicioso. Em outras palavras, mais de 8.200 pessoas foram vítimas em potencial do roubo de informação e identidade por parte dos desenvolvedores do ataque. Isso se deve ao objetivo final deste ataque ser o roubo de informações bancárias de mais de 16 instituições brasileiras, sendo que já detectamos e reportamos mais de 20 campanhas de distribuição envolvidas.
Uma vez que as credenciais sejam obtidas pelos criminosos virtuais, eles podem acessar as contas de e-mail com o objetivo de propagar essa ameaça a todos os seus contatos, alcançando o maior índice de eficácia em cada um dos ataques. Na imagem seguinte é possível observar em que momento do dia em que os usuários caem no erro, e quais são as tendências da eficácia deste ataque:
Note como claramente diminui o acesso aos sites da web nos horários em que as pessoas estão dormindo. Ainda assim, observando as datas de registros de dados no servidor dos criminosos, é possível concluir que as vítimas do erro infectaram seus equipamentos através dos falsos e-mails que diziam conter supostos vídeos da presidente Dilma Rousseff e fotos do corpo de Amy Winehouse.
Concluindo, os criminosos fazem uso da Engenharia Social com o objetivo de atrair a atenção dos usuários e assim roubar suas informações. Para evitar cair neste tipo de ataque, recomendamos aos usuários contar com uma solução de antivírus com capacidade de detecção proativa e boas práticas para navegar pela Internet.
Pablo Ramos
Especialista em Awareness & Research