Foi lançada uma nova campanha de phishing direcionada a clientes de um importante banco brasileiro. Essa campanha consiste na clonagem do site da instituição com a finalidade de roubar as credenciais de acesso e outros dados importantes que detalhamos a seguir.
A campanha começa com um site exatamente idêntico ao do conhecido banco. A primeira característica para suspeitar de que se trata de um golpe é a origem do domínio. Como podemos visualizar na imagem, o domínio pertence ao Vietnã (.vn), o que não tem sentido para o site de uma instituição brasileira. Outro aspecto que devemos destacar é que o falso domínio não conta com nenhum link habilitado, a não ser o que oferece acesso ao serviço de home banking.
Quando o usuário insere o número da agência e o número da conta, e clica no botão OK (único link habilitado) começará uma série de passos para obter todos os dados que vinculam o usuário à sua conta bancária.
Neste passo, solicitamos ao usuário que insira os quatro dígitos correspondentes ao seu cartão utilizando os botões que se encontram no site. Surpreendentemente, uma vez inseridos os dígitos, o site informa que a senha está incorreta e que deve ser inserida novamente.
Isso ocorre, possivelmente, devido ao fato de os desenvolvedores exigirem duas vezes a senha para evitar possíveis erros do usuário. Seguindo o processo do golpe, o site aceita a senha inserida pelo usuário, e agora solicita três dígitos de segurança que se encontram no cartão de chaves do usuário.
A essa altura do golpe, de forma inacreditável, o site falso oferece conselhos de segurança ao usuário informando que, para não sofrer acessos indevidos à sua conta, é necessário realizar a ativação do cartão de chaves.
Se o usuário pressiona o botão de "ativar agora", o site falso mostra um formulário para acessar todos os dígitos do cartão de chaves.
Assim que o usuário insere todos os números correspondentes ao seu cartão de chaves e pressiona "avançar", o site falso redireciona o usuário ao site original do banco.
Como podemos ver na imagem obtida a partir da captura do tráfego de dados, podemos observar como os dados que foram inseridos pelo usuário são enviados de forma conjunta ao site sem nenhum tipo de encriptação, colocando-os à disposição dos criminosos virtuais que desenvolveram o golpe.
Esse tipo de golpe é cada vez mais frequente, por isso é recomendável contar com uma solução antivírus com capacidade de detecção proativa.
Fernando Catoira
Analista de Segurança