Em várias oportunidades, falamos em nosso blog de diferentes casos de phishing. Além disso, analisamos um caso que utilizava uma tecnologia conhecida como geolocalização, que permite determinar a partir de que país a vítima em potencial está acessando. Há um novo caso de phishing sobre uma conhecida companhia aérea que está afetando usuários brasileiros, e que utiliza justamente essa técnica.

Esse site de phishing em particular implementa a geolocalização como mecanismo para impedir o acesso de usuários que estejam fora do Brasil. Dessa forma, fica mais difícil detectar esses sites fraudulentos, além de indicar os usuários que realmente são de importância para o criminoso virtual. A tela abaixo mostra a mensagem de “proibido” que aparece quando o usuário se encontra fora do país:

Devido a esse tipo de limitação, conseguimos acessar o site utilizando um proxy do Brasil para poder driblar a proteção e ter acesso ao próprio site malicioso. A tela abaixo mostra sua entrada:

Há uma série de fatores que chamam a atenção. Em primeiro lugar, o site conta com um painel de busca de voos, que dispõe de funcionalidade completa. Em outras palavras, caso seja feita uma busca sobre esse formulário, é feito um redirecionamento ao site original, com os dados inseridos no formulário, e a seguir é executada a própria busca sobre o servidor legítimo. Essa é uma das formas os criminosos utilizam para não despertar suspeitas no usuário. O formulário pode ser visto na imagem a seguir:

Contudo, a finalidade deste site falso se encontra no formulário em que é solicitado ao usuário uma série de dados críticos para poder participar de um suposto sorteio. A seguir, você pode ver uma imagem do formulário:

O suposto concurso promete sortear 200 mil pontos diários que podem ser trocados por produtos e até mesmo voos nacionais e internacionais. Porém, para participar do sorteio, o usuário deve inserir seu “número fidelidade” e a “senha de resgate” (quatro ou cinco dígitos para certificar que é o cliente que utiliza os pontos). Ou seja, com essa informação, o criminoso poderia ter acesso aos pontos que a vítima possui na companhia aérea.

Foi feita uma análise do tráfego gerado para determinar que ações este site de phishing realiza assim que os dados requeridos são informados para o suposto sorteio. Especificamente, é feita a conexão a outro servidor remoto onde a informação é processada a partir de um arquivo PHP embutido. Possivelmente a informação será coletada e armazenada de alguma forma para que seja utilizada posteriormente pelos criminosos. Na imagem a seguir, você pode observar a informação do tráfego de rede:

Ao acessar o servidor, especificamente a pasta log lista três arquivos PHP. Esses arquivos podem ser utilizados para processar a informação roubada através de diferentes campanhas. A imagem a seguir mostra os arquivos mencionados:

Essa campanha combina, então, métodos de geolocalização e redirecionamento ao site legítimo para poder preservar por mais tempo o site de phishing online. Dessa forma, o criminoso se assegura de obter os dados dos usuários que realmente são de seu interesse e minimiza a possibilidade de ser detectado. Por esse tipo de situação, é recomendável contar com alguma solução de software com capacidade de detecção proativa que permita estar protegido contra esse tipo de ameaça. Além disso, a educação é um pilar fundamental que o usuário deve considerar para completar sua segurança.