Nova técnica de fraude falsifica endereços no navegador
Arquivo - Clipping 2004
07 de abril de 2004
Veículo: Infoguerra
Autor: Giordani Rodrigues
Foi reportada uma nova técnica de phishing scam, capaz de elevar consideravelmente a eficiência de golpes pela Internet. O truque, descrito na última semana por sites como Anti-Phishing Working Group (APWG) e Netcraft, usa um javascript que detecta a versão do navegador do usuário e falsifica a barra de endereços do software, além de fornecer outros códigos forjados.
Phishing scam é o nome dado à técnica de ludibriar internautas por meio de falsas mensagens eletrônicas enviadas em massa. As mensagens contêm marcas comerciais, endereços de e-mail e links forjados, os quais aparentam proceder de bancos, operadoras de cartão de crédito ou qualquer outra empresa conhecida cujo nome possa ser usado para recolher dados financeiros e de identidade de clientes incautos. O grupo APWG estima que 5% das pessoas que recebem estas mensagens são ludibriadas, e a consultoria de segurança britânica mi2g garante que este tipo de golpe eletrônico cresceu 330% no último ano.
A nova técnica foi observada em uma falsa mensagem do Citibank, o alvo preferencial de phishing entre os bancos americanos. O e-mail se parecia com outros usados neste tipo de golpe. Trazia no campo do remetente o endereço support@citibank.com e o assunto "Verify your E-mail with Citibank" (Verifique seu e-mail junto ao Citibank). O corpo da mensagem, em formato HTML, trazia os argumentos de costume para convencer os clientes do banco a acessar uma página supostamente pertencente ao Citibank e nela cadastrar dados como o número do cartão bancário e o PIN (uma senha pessoal). O link mostrava o endereço https://web.da-us.citibank.com/signin/citifi/scripts/email_verify.jsp, mas na verdade estava direcionado a uma página clonada do banco, hospedada em um provedor na cidade de Dallas, no Texas, Estados Unidos. A diferença começava quando um cliente clicasse no falso link.
Ao fazer isso, em vez de observar o endereço da página hospedada no provedor texano, o cliente veria o mesmo endereço falso do Citibank mostrado na mensagem fraudulenta, incluindo o ?s? de ?seguro?, no trecho ?https?. Isto porque a página trazia um javascript que detectava a versão do navegador do cliente, removia a barra de endereços real e a substituía por outra, com o endereço fajuto usado no golpe.
Segundo o APWG, a falsa barra de endereços não era estática e sim ?um pedaço vivo de código javascript?, na qual era possível até mesmo digitar o endereço do banco (ou qualquer outro) e acessá-lo. Outra característica é que se o usuário clicasse com o botão direito do mouse na página e pedisse para exibir o código-fonte, este seria mostrado também de maneira forjada. Para acessar o código real da página, só usando o menu superior do navegador.
Aparentemente, o javascript malicioso poderia ser usado com vários navegadores, incluindo o Internet Explorer e o Netscape. Imagens e explicações detalhadas (em inglês) podem ser vistas aqui.
Segundo dados da Netcraft e do APWG, os ataques de phishing têm crescido tanto em quantidade de ocorrências quanto em sofisticação dos golpes. As estatísticas levantadas mostram que fevereiro (o último mês analisado) apresentou o maior número de casos, com 282 e-mails falsos detectados. Na terceira semana de fevereiro, já estavam sendo registrados 12 golpes diferentes por dia.
É bom lembrar que estes números se referem apenas aos casos registrados no exterior. No Brasil, a situação não é diferente, e embora não estejam disponíveis tantos detalhes percebe-se, no dia-a-dia, a grande quantidade de e-mails fraudulentos em nome de bancos e outras empresas. O NBSO (Grupo de Resposta a Incidentes para a Internet Brasileira) possui estatísticas de incidentes de segurança no Brasil, mostrando que a incidência deste tipo de fraude eletrônica no País dobrou em 2003 em relação ao ano anterior.
Leia também:
Relatos de ataques e golpes no Brasil dobraram em 2003
