Phishing via SMS!
Uma estratégia que vem sendo amplamente utilizada por cyber criminosos no Brasil é o phishing por sms. Esta prática vem atingindo clientes de diversos bancos.
Recentemente recebemos alguns e resolvemos dar uma olhada mais de perto. A abordagem costuma se basear em supostas cobranças, pedidos de atualização, multas e etc. O caso que recebemos trata-se de uma suposta multa e cancelamento conforme pode ser visto na figura abaixo:
Não recomendamos que o usuário clique, pois geralmente esta tática também é utilizada para propagação de malwares (códigos maliciosos). No nosso caso, como estamos realizando uma rápida análise, vamos ver o que está acontecendo com a “nossa conta” rsrs… É interessante mencionar que nem sempre a vítima que recebe o sms possui conta no banco em questão, o que nos leva a crer que o atacante está seguindo aquela grande metodologia “caiu na rede é peixe” ;)
Após acessar o link recebido por sms somos levados às seguintes páginas:
Interessante notar que existe uma verificação do número de caracteres para agência, conta e senha.
Olhando o código fonte mais de perto, notamos que o cyber criminoso não se deu nem ao trabalho de remover as informações da ferramenta que ele utilizou para clonar a página, no caso o HTTrack. É possivel ver também que a página utilizada para o phishing foi clonada de uma outra página falsa “http://www.bb-atualize.com/selecionar.php”.
Após inserirmos os dados da “nossa conta” somos direcionados para uma página de autorização do nosso dispositivo, onde é necessário que seja fornecido o número de celular e a senha de 6 dígitos do cartão. Seguindo nessa linha, temos um página que pede o código “IMEI” do nosso aparelho, muito provavelmente para uma futura tentativa de fraude da relação de confiança entre o aparelho e o APP do banco:
Após fornecer todos os nossos preciosos dados, somos redirecionados para o site original do banco:
Embora para alguns seja um ataque simples e de fácil identificação, para muitos, leigos ou descuidados, este tipo de ataque tem se mostrado muito eficaz.
Levando em consideração que o atacante não pareceu se preocupar em realizar um ataque bem elaborado, digo isso pois como mencionado acima o mesmo não se preocupou em esconder a ferramenta para clonagem do site. Resolvemos então, analisar um pouco mais a troca de requisições ocorridas durante o phishing.
Após a análise de algumas requisições estrategicamente manipuladas (adiantamos o dia da maldade rsrs), notamos, com base nas respostas, que muito provavelmente o atacante nem se preocupou em ter um banco de dados para armazenamento dos dados capturados, o que despertou ainda mais nossa curiosidade.
Resolvemos então procurar por diretórios “indexados” e, para nossa surpresa, encontramos não só os diretórios, mas os arquivos de armazenamento de dados capturados, aquele TXT maroto que é salvo com o nome do IP da vitima.
Fica aqui o alerta para estarem sempre atentos, pois como vimos, o ataque acima baseia-se apenas na criatividade do cyber criminoso para obtenção de dados. O mesmo não faz uso de nenhuma vulnerabilidade ou de malware (códigos maliciosos).
Em um outro caso que analisamos, o que nos chamou a atenção foi o fato de que o atacante solicitou que fosse realizado o “upload” de uma foto do cartão de segurança online do banco, mulek cara de pau!
Autores: