Os ataques de phishing já fazem parte do cotidiano no que diz respeito às fraudes informáticas, e a razão é simples: embora os ataques sejam muitas vezes pouco criativos, as vítimas querem acreditar nas promessas dos atacantes, que oferecem desde viagens para assistir à Copa do Mundo da FIFA 2014 até carros zero quilometro, dinheiro e outros prêmios mais.
Já publicamos alguns posts sobre esse tipo de ataque, mas nessa ocasião mostraremos um ataque real que pode ser visto quase todos os dias por usuários de e-mail. Indicaremos os detalhes que devem ser levados em consideração, os erros clássicos dos atacantes que nos permitem detectar ataques e deixaremos conselhos para evitá-los.
Na imagem abaixo, vemos um e-mail para usuários brasileiros, supostamente enviado por uma empresa de cartão de crédito muito conhecida:
O “concurso” dá aos ganhadores 10 prêmios em 90 dias: prêmios em dinheiro, notebooks e até um carro novo; para participar, a vítima só precisa se cadastrar.
Nossa primeira ação ao receber o e-mail, foi visitar a página oficial da empresa e verificar se de fato existe o sorteio. Como suspeitávamos, não existe. O passo seguinte foi pesquisar o nome “Show de Prêmios” na Internet, porém não encontramos nada.
Nesse momento já podemos concluir que não temos que clicar em “continuar”, pois constatamos que não é um sorteio legítimo, e seria melhor deletar o e-mail.
Mas nossa missão como especialistas em segurança é explicar o porquê de não continuar, então vamos a próxima captura de tela:
Podemos observar que o atacante deixou muitos indícios de que a página não é legítima:
· A URL da página não corresponde ao site do cartão de crédito.
· O site indica que é seguro, porém não vemos o cadeado ao lado da URL comprovando que a conexão é segura (não começa com https://).
O que mostramos na próxima imagem é o que normalmente vemos em casos de phishing: o site pede detalhes do cartão de crédito da vítima. Se ainda havia dúvidas sobre a veracidade do site, as mesmas são sanadas a seguir:
É possível perceber alguns detalhes suspeitos na captura:
· O site mistura duas empresas de cartões de crédito diferentes
· O endereço web não é o mesmo endereço do site da empresa
· Nenhuma instituição legítima pede dados bancários por Internet para que possam participar de sorteios
Em nossa captura de tráfego de rede, é possível ver que os dados da vítima são enviados em texto plano, ou seja, não estão criptografados. Esse fato reforça o que já tínhamos expressado anteriormente: a conexão não é segura, como o atacante sugeria na imagem número 2.
As setas vermelhas mostram que ao analisar o tráfego, é possível visualizar os dados da vítima que são enviados ao atacante, e também é possível ver que os mesmos não estão criptografados.
Finalmente vemos nessa última captura de tela que o cadastro foi realizado e que a vítima agora está participando do concurso. Mas infelizmente nesse sorteio o único ganhador é o atacante:
Do Laboratório de Investigações da ESET América Latina, deixamos alguns conselhos simples para reforçar a segurança antes de clicar em e-mails suspeitos:
- Verificar sempre se o e-mail é legítimo: entre em contato diretamente com a entidade que supostamente o envia.
- Nunca clique em links que vem em e-mails que solicitam informação pessoal.
- Verificar se o site é seguro. Observar se o mesmo utiliza o protocolo de segurança https e se utiliza um certificado digital válido.
