Cibercriminosos criaram um site falso para coletar endereços de e-mail e senhas de usuários que se faz passar pela página oficial do Have I Been Pwned, um serviço usado para verificar se determinado e-mail, senha ou número de telefone foi exposto em um vazamento de dados. A página falsa não só tem um designer semelhante ao site oficial, mas também conta com uma URL bastante parecida, o que pode fazer com que muitos usuários acreditem que estejam acessando a página legítima do serviço.

falso-sitio-have-i-been-pwned-xx.jpg
falso-sitio-have-i-been-pwned-x-1.jpg

Site que se faz passar pelo Have I Been Pwned (à esquerda) e a página legítima do serviço (à direita).

Veja mais: Como um vazamento de dados em apps ou serviços pode afetar aos usuários

Se observarmos com um pouco mais de atenção a URL, poderemos ver que a principal diferença entre o site legítimo e o falso é a sua extensão. Enquanto na página oficial a URL termina com “.com”, no site falso não. No entanto, o fato do nome de domínio ser o mesmo pode fazer com que vários usuários caiam no golpe. Por outro lado, o designer é muito semelhante e conta com praticamente os mesmos elementos.

Uma das principais mudanças implementadas pelos cibercriminosos no site falso é a maneira de realizar buscas: enquanto na página oficial o usuário só precisa digitar seu endereço de e-mail ou número de telefone para verificar se seus dados foram expostos em um vazamento, no site falso o usuário precisa digitar seu endereço de e-mail e, em seguida, sua senha.

O fato de ter que digitar a senha do e-mail informado deve levantar suspeitas, especialmente para aqueles que já usaram o serviço anteriormente, já que para verificar se uma senha foi vazada em um vazamento de dados, o site oficial tem uma opção separada e disponível na barra do menu principal chamada “Passwords”, onde os usuários podem verificar se sua senha foi vazada, mas sem vincular esta informação a um nome de usuário ou endereço de e-mail específico.

Veja mais: O que fazer se alguma senha sua vazou em uma brecha de segurança

Fizemos um teste. Inserimos um e-mail fictício.

Se o usuário informar suas informações nos dois campos solicitados, eles estarão enviando os seus dados de login para os atacantes.

Para não levantar suspeitas, após inserir os dados solicitados, o site falso redireciona a vítima para o site legítimo indicando que os dados inseridos não foram registrados em nenhum vazamentos de dados.

O site falso redirecionado a vítima para a página oficial depois da inserção dos dados solicitados.

Have I Been Pwned: um serviço para verificar se seus dados foram atacados

O Have I Been Pwned é um serviço usado por usuários que querem verificar se seu e-mail ou senha foi exposto em um incidente de segurança em serviços on-line nos quais possui contas. O site tem com uma extensa base de dados que coleta endereços de e-mails, senhas e números de telefone de mais de 600 sites que foram afetados por vazamentos de dados e mais de 11 bilhões de contas expostas.

Veja mais: