Ataques de typosquatting: 80 domínios falsos de bancos

Blog da Kaspersky - 27/04/2012 - [ gif ]
Autor: Fabio Assolini
Assunto: Segurança

Ataque promovido por cibercriminoso brasileiro registrou em poucos dias 80 domínios maliciosos usando o nome de 6 grandes bancos do país 

Todo mundo erra ao digitar o endereço de um site. Troca-se uma letra aqui, outra lá, e assim o internauta que esperava chegar a um site, acaba caindo em outro. Esse tipo de erro é bastante comum e os cibercriminosos costumam explorar esse deslize na digitação para direcionar os usuários incautos para sites maliciosos, cujo nome é bastante parecido com o original.

Chamamos esse tipo de ataque de typosquatting, onde o criminoso compra e registra um domínio de internet usando um nome parecido com o legítimo, mas com uma diferença de uma letra a mais, a menos ou trocada no nome do site. Assim o usuário despercebido na digitação será direcionado ao site falso, sem às vezes perceber.

Foi assim que um cibercriminoso brasileiro registrou em poucos dias 80 domínios maliciosos, usando o nome de 6 grandes bancos brasileiros, esperando que a vítima acredite estar na página legítima, quando na verdade estava numa página falsa preparada especialmente para roubar suas credenciais de acesso.

O cibercriminoso registrou o domínio usando as informações abaixo, provavelmente são dados falsos ou o dono do CPF sequer sabe que seu nome foi usado pra isso:

A lista dos domínios falsos que foram criados é grande, e como podemos observar, ele se vale na mudança de poucas letras, geralmente próximas no teclado:

aicredi.com.br

babrisul.com.br

bancibradesco.com.br

bancidobrasil.com.br

bancobradesco.cim.br

bancobradescp.com.br

bancobradwsco.com.br

bancodibrasil.com.br

bancodovrasil.com.br

bancodpbrasil.com.br

bancohsbc.cim.br

bancoirau.com.br

bancoitau.cim.br

bancoitsu.com.br

bancosantsnder.com.br

bancosobrasil.com.br

bancsantander.com.br

banriaul.com.br

banridul.com.br

banrisuk.com.br

banrisul.cim.br

banrosul.com.br

banrusul.com.br

bantisul.com.br

bantoitsu.com.br

bsncodobrasil.com.br

bsnrisul.com.br

cooperativasicred.com.br

cooperativasicredi.cim.br

coperativasicredi.com.br

dantander.com.br

iitaupersonnalite.com.br

itauclientes.com.br

itauempresa.com.br

itauempresas.cim.br

itaunetbank.com.br

itaupersonnaliet.com.br

itaupersonnalite.cim.br

itauprivat.com.br

itauprivate.cim.br

itauprsonnalite.com.br

itaupwrsonnalite.com.br

itauubiclass.com.br

itauuniclass.cim.br

itauuprivate.com.br

itsau.com.br

itzu.com.br

sabtander.com.br

sabtanderempresas.com.br

sahtander.com.br

sahtanderempresas.com.br

sajtanderempresarial.com.br

sangander.com.br

sanranderempresas.com.br

santajderempresarial.com.br

santander3mpresarial.com.br

santanderekpresarial.com.br

santanderemepresarial.com.br

santanderemprwsas.com.br

santanderemptesas.com.br

santandernetbank.com.br

santanfwrempresarial.com.br

santqnder.com.br

santsnderwmpresarial.com.br

santwnderempresarial.com.br

santznder.com.br

sanyanderempresas.com.br

siccredi.com.br

sicrdi.com.br

sicredk.com.br

sicredu.com.br

sicrwdi.com.br

sictedi.com.br

sivredi.com.br

sixredi.com.br

snantanderempresarial.com.br

snatander.com.br

sqntenderempresarial.com.br

ssicredi.com.br

wmpresarialsantander.com.br
       

Nem todos os domínios registrados foram usados pelo cibercriminoso. No momento em que escrevemos o artigo apenas 15 domínios, usando o nome de 3 bancos estavam efetivamente hospedando páginas falsas, como esse:

Apesar de engenhosidade do golpe, os domínios falsos não exibiam páginas com conexão segura (HTTPS) e nem o cadeado de segurança, comum nas páginas de autenticação. Além disso, várias telas exibiam erros de ortografia:

"feixe o seu navegador"

Quando for acessar a página do seu Banco, fique atento ao endereço digitado! Dê preferência aos domínios b.br, usados exclusivamente pelos bancos no Brasil (nomedoseubanco.b.br). Os usuários do Kaspersky Internet Security podem se assegurar de estar na página correta usando o recurso de “Online Banking” e assim garantir um acesso seguro:

Ao encontrarmos os domínios falsos reportamos o incidente ao Registro.br, órgão responsável pelo gerenciamento de domínios no Brasil, que rapidamente os desativou e os removeu.