O título pode parecer não fazer sentido, mas o conselho de hoje é: não atualize os seus dados – se você não tem certeza de onde os mesmos vão parar.
Vamos expor mais uma tática de phishing bancário no Brasil que faz uso da Engenharia Social para fazer com que vítimas distraídas compartilhem seus dados com cibercriminosos.
O ataque começa como de costume, através de um e-mail pedindo ao usuário que atualize os seus dados em 5 dias úteis a fim de não perder seus acessos e ter que ir ao banco para gera-los novamente. Um detalhe curioso é que a suposta instituição financeira fornece um número telefônico para contato que não é válido, como vemos na figura abaixo:
Após esse mal começo (já que sabemos que instituições financeiras não solicitam dados pessoais por e-mail), as coisas somente pioram. Ao clicar no link, somos redirecionados a uma página que não é segura (não começa com https://), e que portanto não exibe o cadeado que indicaria que os dados enviados e recebidos são criptografados. Além disso, ao passar o mouse acima da imagem, o URL de redirecionamento que vemos não bate com o URL do site do suposto banco. Vejamos a continuação:
Como pudemos ver na imagem anterior, o site tem um URL que obviamente não corresponde com o seu conteúdo; o mesmo parece pertencer a uma marca de carros de algum país asiático (aparentemente vítima do mesmo atacante, que parece utilizar essa página para efetuar o roubo de credenciais). A mesma contém campos que somente deveriam estar presentes no site legítimo, o que constitui fraude. A imagem seguinte mostra o site invadido em sua forma original (anterior ao ataque):
Uma vez que a informação solicitada é ingressada (somente dados bancários válidos são aceitos, números aleatórios geram um erro), chegamos a última página que indica que a operação foi concluída com sucesso. O fato curioso é que, mais além da mensagem de sucesso, a vítima pode até tentar ingressar um PIN, mas não existem botões para enviar dados adicionais a nenhum lugar:
A fraude parece terminar quando o atacante possui os dados previamente roubados (números de agencia e conta corrente).
A captura de tráfego de rede abaixo mostra que os dados da vítima são enviados a uma terceira página, que os guarda em uma base de dados:
É possível ver a existência do comando GET (usado em http para solicitar uma representação de um recurso específico) solicitando dados ao IP da vítima; dados que uma vez roubados, são enviados ao host, ou endereço onde serão armazenados.
Esse foi mais um caso de tentativa de roubo de informação através de um ataque de phishing. Desde o Laboratório de Investigações da ESET, seguem alguns conselhos úteis e simples para reforçar a segurança antes de decidir clicar em e-mails suspeitos:
- Verificar sempre que o e-mail é legítimo, entrando em contato com a entidade.
- Nunca clicar em links que vem incluídos em e-mails solicitando informação pessoal.
- Verificar se o site é seguro, observando se o mesmo utiliza o protocolo de segurança https (embora o mesmo não seja sinónimo de garantia total de segurança) e também conta com um certificado digital válido.