Campanha de phishing faz-se passar por banco para roubar informação financeira

Uma campanha de phishing ativa dirigida a utilizadores da Colômbia faz-se passar por um conhecido banco com o objetivo de roubar credenciais de acesso e dados dos cartões de crédito e débito

Hackers em todo mundo evoluem cada vez mais nas suas técnicas de engenharia social. Prova disso é que a partir de um e-mail que chegou ao laboratório de investigação da ESET na América Latina, foi identificado um site de phishing que utiliza a identidade de um conhecido banco da Colômbiaque cumpre, inclusive, com o requisito de possuir um certificado SSL, fazendo com que o utilizador seja enganado e caia na armadilha achando que se trata de um site fiável onde é seguro navegar e introduzir dados pessoais.

A mensagem que contem o e-mail falso informa a vítima que os acessos aos distintos canais foram bloqueados por medida de segurança e convida o utilizador a restabelecer o acesso à sua conta para voltar a utilizar os serviços com normalidade.

Falso e-mail recebido pela vítima notificando a suspensão do acesso a convidar a restabelecer o acesso

Se um cliente desprevenido recebe este e-mail e decide seguir o link incluído no corpo da mensagem, vai deparar-se com uma página completamente clonada da entidade bancária, na qual todos os links ligam ao site oficial da empresa ou empresas associadas, salvo o botão de acesso do utilizador e onde introduz a password.

Tal como mencionado no início deste artigo, a particularidade do site falso é que conta com um certificado, o qual pode observar-se à esquerda do domínio com um cadeado fechado e as siglas https antes do domínio.

Site mostra certificado de segurança

Analisando em profundidade a informação do certificado verificamos que foi emitido pela entidade certificante Let’s Encrypt, a qual fornece os mesmos de forma gratuita e permite inclusive ocultar a informação do proprietário do certificado.

Certificado emitido pela Let´s Encrypt

O que chama à atenção é a data da emissão, sendo que a mesma aconteceu cinco dias antes da análise. Facto que nos levou a investigar mais a fundo o domínio para o qual redirecionava o e-mail malicioso, e em linha com o certificado, verificamos que o mesmo também tinha sido criado recentemente e ocultava os dados da entidade que o registou.

Informação do domínio

Tudo isto mostra a sofisticação dos responsáveis por este ataque, que procuram maximizar a efetividade do mesmo tentando ludibriar os cuidados que o utilizador possa ter na hora de fazer uma pesquisa, a falsa segurança do próprio site, que o domínio tenha alguma referência (não neste caso) ou alguma coerência com a mensagem recebida, como acontece neste caso em que existe uma clara referência ao desbloqueio das contas.

Se o utilizador cai na armadilha, acede à página e introduz o seu número de identificação e password (para efeitos de análise incorporamos como documento 1111 e chave 1111 e sem nenhuma verificação é tomado como válido) para chegar à página seguinte, aí os hackers por trás do golpe tentarão dar mais um passo e tentarão roubar os dados do cartão de crédito ou débito da vítima.

Pedido de confirmação de dados da vítima solicitando a introdução dos dados do seu cartão de crédito e/ou débito

Posteriormente, e apesar de inseridos dados completamente incoerentes com a informação solicitada, o site valida os mesmos como corretos. Uma vez finalizado este processo, o utilizador será redirecionado para a página oficial e real da entidade financeira em questão. Vale a pena mencionar que durante a análise da campanha não se detetaram segundas intenções (como seja a instalação adicional de algum malware), pelo que se conclui que o único objetivo passa por roubar informação de credenciais e cartões de crédito a partir do acesso da vítima através do falso site.

Este tipo de ataques prova que os utilizadores devem estar cada vez mais atentos quando navegam na Internet e sobretudo no momento em que acedem a algum link. No que respeita aos certificados de segurança, os mesmos devem estar em nome das respetivas entidades. Ao tratar-se de um certificado emitido em nome da empresa responsável pelo domínio, para além de ficar visível o cadeado, à direita do mesmo deve estar o nome da empresa.

Exemplo de certificado de segurança legítimo com o nome da empresa à direita do cadeado

Apesar disto não ser obrigatório, já que como vimos neste caso a entidade financeira não tem o registo de certificado desta forma no seu site oficial, recomenda-se aos utilizadores que tenham em consideração estes pontos quando navegam online e que evitem aceder a links que recebam pelos mais variados sistemas de mensagens. Há que recordar também que perante a dúvida acerca da veracidade de uma mensagem deste tipo, deve aceder de forma manual ao site oficial e verificar dessa forma a informação.

No caso de uma empresa que necessite informar este tipo de eventos aos seus utilizadores, o mais provável é que publique um comunicado no seu site oficial a aparecer no momento em que aceda ao sistema de banca online. Nenhuma empresa deveria solicitar através de e-mail a introdução de dados pessoais como passwords, números e códigos de segurança de cartões de crédito ou débito.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

one × five =