Site falso se faz passar pelo “Have I Been Pwned” e rouba dados de acesso

Identificamos um site que se faz passar por um conhecido serviço que verifica se um e-mail, senha ou número de telefone foi exposto em um vazamento de dados.

Identificamos um site que se faz passar por um conhecido serviço que verifica se um e-mail, senha ou número de telefone foi exposto em um vazamento de dados.

Cibercriminosos criaram um site falso para coletar endereços de e-mail e senhas de usuários que se faz passar pela página oficial do Have I Been Pwned, um serviço usado para verificar se determinado e-mail, senha ou número de telefone foi exposto em um vazamento de dados. A página falsa não só tem um designer semelhante ao site oficial, mas também conta com uma URL bastante parecida, o que pode fazer com que muitos usuários acreditem que estejam acessando a página legítima do serviço.

Site que se faz passar pelo Have I Been Pwned (à esquerda) e a página legítima do serviço (à direita).

Se observarmos com um pouco mais de atenção a URL, poderemos ver que a principal diferença entre o site legítimo e o falso é a sua extensão. Enquanto na página oficial a URL termina com “.com”, no site falso não. No entanto, o fato do nome de domínio ser o mesmo pode fazer com que vários usuários caiam no golpe. Por outro lado, o designer é muito semelhante e conta com praticamente os mesmos elementos.

Uma das principais mudanças implementadas pelos cibercriminosos no site falso é a maneira de realizar buscas: enquanto na página oficial o usuário só precisa digitar seu endereço de e-mail ou número de telefone para verificar se seus dados foram expostos em um vazamento, no site falso o usuário precisa digitar seu endereço de e-mail e, em seguida, sua senha.

O fato de ter que digitar a senha do e-mail informado deve levantar suspeitas, especialmente para aqueles que já usaram o serviço anteriormente, já que para verificar se uma senha foi vazada em um vazamento de dados, o site oficial tem uma opção separada e disponível na barra do menu principal chamada “Passwords”, onde os usuários podem verificar se sua senha foi vazada, mas sem vincular esta informação a um nome de usuário ou endereço de e-mail específico.

Fizemos um teste. Inserimos um e-mail fictício.

Se o usuário informar suas informações nos dois campos solicitados, eles estarão enviando os seus dados de login para os atacantes.

Para não levantar suspeitas, após inserir os dados solicitados, o site falso redireciona a vítima para o site legítimo indicando que os dados inseridos não foram registrados em nenhum vazamentos de dados.

O site falso redirecionado a vítima para a página oficial depois da inserção dos dados solicitados.

Have I Been Pwned: um serviço para verificar se seus dados foram atacados

O Have I Been Pwned é um serviço usado por usuários que querem verificar se seu e-mail ou senha foi exposto em um incidente de segurança em serviços on-line nos quais possui contas. O site tem com uma extensa base de dados que coleta endereços de e-mails, senhas e números de telefone de mais de 600 sites que foram afetados por vazamentos de dados e mais de 11 bilhões de contas expostas.

Cadastre-se para receber por e-mail todas as atualizações sobre novos artigos que publicamos em nossa seção referente à Crise na Ucrânia.

Newsletter

Discussão