Quando recebemos um e-mail que parece vir de uma instituição bancária, alertando que a conta do usuário será bloqueada, é recomendável prestar um pouco de atenção, já que pode se tratar de um ataque de phishing. Essa técnica, que parece ser simples, na verdade costuma ter um grande índice de eficácia. No texto a seguir observaremos alguns detalhes e particularidades que permitem aos usuários identificar esses ataques.
Em primeira instância, o ataque começa com um e-mail falso, no qual sempre se encontram palavras relacionadas às politicas de segurança do banco, atualizações dos dados de acesso, ou espiração da senha, para logo terminar em um ou mais links, que redirecionam o usuário à suposta página do banco. Esse é um dos pontos mais importantes a ser lembrado pelos usuários: um e-mail proveniente de uma instituição bancária não costuma conter esse tipo de link.
Então, caso o usuário não perceba que se trata de um e-mail falso, que contém um link para direcioná-lo a um servidor malicioso, poderá entregar suas informações aos criminosos:
Como podemos observar na imagem anterior, o e-mail contém um texto que alerta o usuário sobre uma inconsistência em seus dados. Em seguida, o e-mail recomenda ao usuário que compareça a uma agência presencialmente ou realize a atualização de suas informações através do link. Ao fazê-lo, o usuário acessa um servidor violado, que hospeda o site de phishing que o solicita a inserir seus dados, incluindo os códigos do cartão de segurança do banco.
Em um ataque que consiste pura e exclusivamente da utilização de engenharia social, os criminosos conseguem que um usuário desprevenido seja vítima do erro e assim obtém suas credenciais de acesso. Como se pode imaginar, a conexão a esse suposto site bancário não ocorre através do protocolo HTTPS. O endereço URL pertence a uma página da web que foi violada e hospeda cinco versões diferentes do mesmo site de phishing ,que são utilizadas para roubar as credenciais dos usuários. Então, reforçamos a importância de, ao acessar o Home Banking, verificar se a conexão é segura, através do HTTPS, além de checar a veracidade da URL.
Além de diferentes sites hospedados no servidor violado, podemos observar um arquivo com extensão ZIP, que contém os arquivos de configuração necessários para montar este ataque e para enviar falsos e-mails que redirecionem os usuários às paginas falsas:
Assim que os invasores encontram um servidor vulnerável, o acessam para hospedar esse tipo de ataque, baseando-se em um template que lhes permite gerar diferentes variantes em um curto período de tempo. Quando esses sites são detectados, eles são denunciados com o objetivo de tirá-los do ar. Também devemos reforçar a importância de manter os servidores web atualizados e a utilização de senhas fortes, no caso de utilizar conexão remota.
Casos como o apresentado neste post relembram a importância, acima de tudo, de contar com uma solução antivírus com capacidade de proteção proativa, além de adquirir boas práticas para navegar na Internet e, dessa forma, detectar esse tipo de ataque e evitar casos de engano.
Pablo Ramos
Especialista em Awareness & Research
