Análise de e-mail malicioso – Phishing

Segundo o Wikipédia¹, “Phishing é o termo que designa as tentativas de obtenção de informação pessoalmente identificável através de uma suplantação de identidade por parte de criminosos em contextos informáticos (engenharia social)”.

Um dos maiores exemplos,  se não o mais conhecido, de tática para a obtenção de informações sigilosas é o envio de spam, ou seja, através do recebimento de e-mails não legítimos, diversas pessoas acreditam que possuem pendências inexistentes e respondem aos e-mails retransmitindo seus dados pessoais. Uma das situações mais graves e delicadas que conhecemos é o envio de e-mail malicioso do tipo “phishing” para obtenção de dados bancários.

Na imagem abaixo vemos um “inofensivo” e-mail informando a um usuário a necessidade da confirmação de uma transação bancária. Numa análise rápida já são notáveis dois fatores estranhos: 1) a forma como foi criado o e-mail (sem logotipos da empresa e espaços digitados a mais); 2) o link induz o usuário ao erro ao mascarar o real endereço de destino das informações, ao apresentar na tela um endereço falso – para se comprovar isto basta deixar o ponteiro do mouse em cima do link. Nesse caso, é possível ver que o mesmo não tem nada de Santander no nome.

 

Outro ponto bem estranho sobre o endereço de link mascarado está na parte final: ele contém a extensão .jpg, conhecida por ser extensão de imagens. Ao acessar esse link, é feito um redirecionamento para o endereço https://intern-et-ban-king-id-santan-tan-der.joomla.com/Pfisica/cancelamento.html, e então é apresentada ao usuário a tela abaixo:

 

 

Neste ponto já temos várias adversidades, além das mencionadas anteriormente: imagens mal recortadas, texto não ajustado (centralizado ou justificado), no menu “links rápidos” não há nenhum link, trata-se apenas de texto.

Uma ação muito importante ao se deparar com um site suspeito é realizar pesquisa do mesmo através de algum buscador como o Google. Abaixo temos a página inicial original do Banco Santander², e, como poderão comprovar, completamente diferente da página maliciosa.

 

 

Continuando com a análise, clicando no item de acesso para “Santander Pessoa Física”, abre-se a seguinte tela:

 

Na imagem acima podemos ver que, novamente, o texto não está alinhado e no campo CPF é permitido digitar qualquer caracter, quando o correto seria restringir na própria caixa de texto a digitação de 11 dígitos numéricos, além de no campo pertinente à senha de acesso, ser apresentada uma máscara com asteriscos ou pontos, de modo a esconder a senha digitada. Isso é básico em qualquer site fidedigno que solicita algum tipo de senha para autenticação.

Mesmo digitando um CPF que não existe e uma senha aleatória, ao avançar é informado que a senha foi validada (imagem abaixo). Neste momento, as informações já devem estar no banco de dados preparado pelo cibercriminoso. Infelizmente para ele, as informações digitadas não servirão para nada, pois trata-se de um teste.

Voltando à página inicial e clicando no item “Santander Empresas”, teremos duas etapas para a “falsa autenticação”.

 

 

 

Mais uma vez os mesmos erros do exemplo usado para acesso como pessoa física, porém com uma etapa adicional: neste exemplo, a quantidade de informações exigida do usuário é bem maior. Avançando o processo de identificação, o site falso redirecionará o usuário para a mesma página do exemplo anterior (finalizando o “cadastro” de pessoa física).

Duas dicas finais para não cair em golpes como este

Primeira: verificar a autenticidade da URL que foi utilizada para ofuscar a maliciosa: ao colocá-la no navegador temos o retorno de que o endereço não foi localizado, tratando-se, então, de mais um item para se desconfiar.

 

 

Segunda: enviar a URL para algum site de análise de URLs maliciosas. Um exemplo é o Virus Total (https://virustotal.com), onde são feitas verificações de arquivos e URLs em diversos produtos de segurança da informação.

Nos casos usados como exemplos acima, apenas a Kaspersky Lab detectou o phishing. As soluções Kaspersky possuem tecnologias diferenciadas, sendo uma delas a KSN³, que é uma rede colaborativa e, através dela, novas ameaças e vírus são detectados de forma mais ágil e eficaz.

 

 

Existem diversas maneiras de cibercriminosos coletarem informações. Os exemplos acima são apenas dois que se valem de um falso site bancário.

Nosso alerta é para que caso você receba qualquer tipo de e-mail cujo conteúdo seja suspeito, não clique nos links e converse com seu pessoal do TI.

 

¹ Gostou do tema? Leia sobre outras formas de phishing: https://pt.wikipedia.org/wiki/Phishing

² Captura de tela da página inicial (https://www.santander.com.br/) do Santander feita dia 20/03/2019.

Lucas Mereson
Lucas Mereson
Analista de Segurança da Informação, certificado ISO/IEC 27001, Professional Kaspersky e NSE3 Fortinet na AIM7. Profissional com 3 anos de experiência no setor de tecnologia e segurança da informação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *