Neste post de hoje, vamos mostrar para você como cibercriminosos montam seus ataques para roubar senhas bancárias de vítimas desprevenidas, utilizando-se de vulnerabilidades em sites legítimos para redirecionar as vítimas até as páginas, nas quais o golpe é aplicado.
Phishing – o início do golpe
O golpe, que se utiliza de uma campanha de phishing, inicia-se pelo envio de emails que se passam pelo banco Bradesco e alertam as vítimas sobre uma suposta expiração de seu cartão chave de segurança – muito embora, como veremos a seguir, o golpe também se dirija a usuários do token do aplicativo Bradesco.
![bradesco_phishing1](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing1.png)
Email se passando pelo Bradesco, utilizado na campanha de phishing.
Percurso do golpe
No email há dois hiperlinks com o texto “clique aqui”, como é possível verificar na figura acima. Apesar da possibilidade apresentada para supostamente ativar ou não o cartão chave, ambos hiperlinks direcionam a vítima para a mesma URL.
![bradesco_phishing2](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing2.png)
Link de redirecionamento da vítima para página falsa através de “indix.php”.
Note que a URL é terminada com “/indix.php”, sendo possível deduzir que a URL leva o usuário a um site que utiliza tecnologia PHP e, sabendo que trata-se de um phishing, podemos concluir que houve uma injeção de uma página “indix.php” no site, cujo nome foi escolhido com o intuito de ser confundido com a habitual página index, no caso de uma inspeção visual dos logs de rede.
Quando acessamos o site na URL terminada com “index.php” (ao invés de “indix.php”), somos levados a um site legítimo de viagens, assim como mostra a na figura abaixo.
![bradesco_phishing3](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing3.png)
Site legítimo de viagens (página “index.php”).
Trata-se de um site hospedado nos Estados Unidos e com domínio registrado desde 2012 no Nepal, sem histórico de atividades maliciosas.
Já quando o acesso é feito na URL contida no email de phishing, ao invés do navegador levar a vítima para o site de viagens, ocorre o redirecionado para o site falso utilizado pelos cibercriminosos para roubar das vítimas suas informações de acesso ao internet banking do Bradesco.
![bradesco_phishing4](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing4.png)
Redirecionamento do acesso a “indix.php” para a página falsa que se passa pelo Bradesco.
Página falsa e roubo de senhas
Apesar da URL contida no email de phishing fazer uso de um domínio legítimo de um site de viagens, vimos que a vítima acaba sendo direcionada à página falsa que se passa pelo Bradesco por conta de uma falha de segurança no site de viagens. A página falsa é visualmente semelhante à página oficial do Bradesco.
![bradesco_phishing5](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing5.png)
Página falsa de acesso seguro.
No entanto, é possível verificar que não há o cadeado de segurança, nem mesmo a indicação verde na barra de endereço do navegador, denotando que a conexão é segura.
![bradesco_phishing6](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing6.png)
Barra de endereço do site legítimo do Bradesco que apresenta o cadeado e a validação estendida.
Além disso, a página de acesso seguro legítima não possui campos para o preenchimento de informações como números de agência e conta.
No entanto, quando os números de agência e conta são digitados na página falsa de acesso seguro, scripts são executados no navegador da vítima a fim de verificar a consistência dos dados e prover uma experiência de navegação que se assemelha à navegação no site legítimo.
![bradesco_phishing7](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing7.png)
Scripts de validação contidos na página falsa.
Passando pelo crivo dos scripts de validação, ao avançar, o usuário é levado a uma página, na qual deve indicar o tipo de duplo fator de autenticação utilizado: token mobile ou cartão chave.
![bradesco_phishing8](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing8.png)
Seleção da opção de dispositivo de segurança na página falsa.
Veja como funciona cada uma das opções:
Se a vítima clicar em cartão chave...
- Passo 1
![bradesco_phishing9](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing9.png)
Dispositivo de segurança: cartão chave – Passo 1.
Quando a vítima escolhe a opção “cartão chave”, ela é direcionada a uma página, na qual deve informar os seguintes dados. Este é o passo 1 do golpe.
- Nome do pai ou tutor responsável
- Telefone celular
- CPF
- Senha do cartão de crédito
Além dessas informações, a vítima também é orientada a fornecer a chave correspondente a uma posição solicitada de seu cartão chave.
- Passo 2
![bradesco_phishing10](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing10.png)
Dispositivo de segurança: cartão chave – Passo 2.
No passo 2 (opção de cartão chave) a vítima deve informar as chaves de todas as posições de seu cartão.
- Passo 3
![bradesco_phishing11](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing11.png)
Dispositivo de segurança: cartão chave – Passo 3.
No passo 3 (último) da opção cartão chave, a vítima deve incluir informações como número do cartão de crédito, validade, tipo e CVV.
Note que a informações como senha do cartão e o CPF foram solicitadas no início do passo 1, já no passo 3 (último passo) outros dados relacionas ao cartão de crédito serão também solicitadas. Isso busca fazer com que a vítima não perceba que está fornecendo todos os dados necessárias para que o cibercriminoso possa realizar qualquer tipo de transação financeira com todos os dados da vítima.
Se a vítima clicar em Itoken...
- Passo 1
![bradesco_phishing12](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing12.png)
Dispositivo de segurança: Itoken – Passo 1.
Quando a vítima escolhe a opção Itoken, ela é direcionada a uma página, na qual deve informar o número de celular.
Assim como na página “acesso seguro”, também há scripts de verificação de consistência de dados.
![bradesco_phishing13](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing13.png)
Dispositivo de segurança: Itoken – Passo 1 (validação).
- Passo 2
![bradesco_phishing14](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing14.png)
Dispositivo de segurança: Itoken – Passo 2.
Na página seguinte é solicitado o token, que foi gerado pelo aplicativo Bradesco, já instalado no aparelho celular da vítima.
O aplicativo gera um novo token a cada 30 segundos, limitando a “janela de tempo” e possibilitando que o cibercriminoso possa fazer uso do token.
- Passo 3
![bradesco_phishing15](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing15.png)
Dispositivo de segurança: Itoken – Passo 3.
Na página seguinte, nenhuma informação é solicitada. É mostrada apenas uma mensagem de “Aguarde...” durante aproximadamente 10 segundos. A ideia é manter a vítima ociosa durante os 10 segundos, enquanto os cibercriminosos utilizam todas as informações coletadas (agência, conta, senha e token) para realizar transações financeiras automáticas em nome do usuário.
Caso a transação não ocorra com sucesso, a vítima é novamente redirecionada ao passo 2. No total são realizadas três tentativas de concluir a transação antes da apresentação de uma mensagem de conclusão.
- Conclusão
![bradesco_phishing16](https://web-assets.esetstatic.com/wls/2016/08/bradesco_phishing16.png)
Dispositivo de segurança: Itoken – conclusão.
Veja no vídeo abaixo uma simulação que mostra como funciona o golpe caso a vítima escolha a opção Itoken:
[embed]https://www.youtube.com/watch?v=f5RLAafP_yI[/embed]
Mantenha-se seguro
Infelizmente esse tipo de golpe, com intuito de roubar dados e senhas de acesso, é muito comum. Cibercriminosos apostam em proporcionar uma experiência de navegação e estética muito semelhante a dos sites que pretendem fraudar.
Algumas dicas para navegar com segurança na Internet:
- Comportamental: navegação segura
Atente-se a indicadores de segurança de navegação sempre que acessar a um site que requeira realizar logins ou o envio de outras informações sensíveis – internet banking é um ótimo exemplo.
É sempre importante observar se o cadeado de segurança está presente na barra de endereço do navegador. No caso de bancos e outros sites de maior acesso, também é bastante comum utilizarem certificados de segurança de validação estendida, que apresentam uma grande indicação verde com o nome da empresa na barra de endereço do navegador.
Além disso, não abra ou clique em links de emails desconhecidos. A aplicação de golpes ou infecção de vítimas por meio de phishing é uma prática muito comum.
- Soluções de proteção
Como segurança suplementar a comportamental, é sempre indicado utilizar soluções de proteção para os dispositivos eletrônicos contra malware e sites maliciosos.
Assim, mesmo no caso de clicar (por engano) em algum link malicioso ou de ser redirecionado a um site malicioso sem seu consentimento, a sua solução de proteção pode produzir alertas e interromper o golpe em curso.
Leia mais em "Faça 5 perguntas antes de clicar em um link".