Os ataques de phishing já fazem parte do cotidiano no que diz respeito às fraudes informáticas, e a razão é simples: embora os ataques sejam muitas vezes pouco criativos, as vítimas querem acreditar nas promessas dos atacantes, que oferecem desde viagens para assistir à Copa do Mundo da FIFA 2014 até carros zero quilometro, dinheiro e outros prêmios mais.

Já publicamos alguns posts sobre esse tipo de ataque, mas nessa ocasião mostraremos um ataque real que pode ser visto quase todos os dias por usuários de e-mail. Indicaremos os detalhes que devem ser levados em consideração, os erros clássicos dos atacantes que nos permitem detectar ataques e deixaremos conselhos para evitá-los.

Na imagem abaixo, vemos um e-mail para usuários brasileiros, supostamente enviado por uma empresa de cartão de crédito muito conhecida:

mail-mastercard1

O “concurso” dá aos ganhadores 10 prêmios em 90 dias: prêmios em dinheiro, notebooks e até um carro novo; para participar, a vítima só precisa se cadastrar.

Nossa primeira ação ao receber o e-mail, foi visitar a página oficial da empresa e verificar se de fato existe o sorteio.  Como suspeitávamos, não existe. O passo seguinte foi pesquisar o nome “Show de Prêmios” na Internet, porém não encontramos nada.

Nesse momento já podemos concluir que não temos que clicar em “continuar”, pois constatamos que não é um sorteio legítimo, e seria melhor deletar o e-mail.

Mas nossa missão como especialistas em segurança é explicar o porquê de não continuar, então vamos a próxima captura de tela:

captura-site-seguro1-1024x575

Podemos observar que o atacante deixou muitos indícios de que a página não é legítima:

·         A URL da página não corresponde ao site do cartão de crédito.

·       O site indica que é seguro, porém não vemos o cadeado ao lado da URL comprovando que a conexão é segura (não começa com https://).

O que mostramos na próxima imagem é o que normalmente vemos em casos de phishing: o site pede detalhes do cartão de crédito da vítima. Se ainda havia dúvidas sobre a veracidade do site, as mesmas são sanadas a seguir:

captura-pedido-de-datos1-1024x525

É possível perceber alguns detalhes suspeitos na captura:

·         O site mistura duas empresas de cartões de crédito diferentes

·         O endereço web não é o mesmo endereço do site da empresa

·     Nenhuma instituição legítima pede dados bancários por Internet para que possam participar de sorteios

Em nossa captura de tráfego de rede, é possível ver que os dados da vítima são enviados em texto plano, ou seja, não estão criptografados. Esse fato reforça o que já tínhamos expressado anteriormente: a conexão não é segura, como o atacante sugeria na imagem número 2.

wireshark1-1024x575

As setas vermelhas mostram que ao analisar o tráfego, é possível visualizar os dados da vítima que são enviados ao atacante, e também é possível ver que os mesmos não estão criptografados.

Finalmente vemos nessa última captura de tela que o cadastro foi realizado e que a vítima agora está participando do concurso. Mas infelizmente nesse sorteio o único ganhador é o atacante:

cadastro-efetuado2-300x162

Do Laboratório de Investigações da ESET América Latina, deixamos alguns conselhos simples para reforçar a segurança antes de clicar em e-mails suspeitos:

  • Verificar sempre se o e-mail é legítimo: entre em contato diretamente com a entidade que supostamente o envia.
  • Nunca clique em links que vem em e-mails que solicitam informação pessoal.
  • Verificar se o site é seguro. Observar se o mesmo utiliza o protocolo de segurança https e se utiliza um certificado digital válido.