Janelas pop-ups falsas, telas sobrepostas e falsos navegadores são técnicas utilizadas por criminosos virtuais em seus códigos maliciosos para roubar senhas. Uma nova técnica — redirecionamento para sites falsos –, que antes já era usada, está começando a se popularizar.
A técnica já havia sido utilizada por alguns cavalos de tróia brasileiros, especialmente o Banhost-B. Com seu uso, os criminosos conseguem hospedar uma cópia do site do banco em um servidor falso e redirecionar o endereço do site verdadeiro para este site falso.
O resultado é que o endereço apresentado na barra de endereços será o mesmo do site real, porém o usuário estará navegando em um site controlado por criminosos.
A maior dificuldade dos criminosos para realizar esta façanha é manter os sites falsos no ar. Geralmente são usados servidores invadidos, pertencentes a outras pessoas, que estão sendo abusados ilegalmente. Quando o dono ou a empresa de hospedagem responsável por estes servidores toma conhecimento do problema, os sites falsos são retirados do ar imediatamente.
Um dos ataques observados pela Linha Defensiva utilizava 4 servidores diferentes, todos localizados no mesmo provedor nos Estados Unidos. Os principais alvos eram a Caixa Econômica Federal, Banco do Brasil e Hotmail. Outro golpe utilizava um servidor localizado no México e possuía sites falsos para 6 bancos diferentes.
Para efetuar o redirecionamento, o código malicioso altera o arquivo hosts do computador, redirecionando sites de bancos para os servidores falsos. Ao acessar o site do banco digitando o endereço correto no navegador, o computador — ao invés de consultar o provedor de acesso pelo destino correto — conecta ao endereço informado no hosts. O usuário então já estará em um site falso e tudo que ele enviar será recebido pelos golpistas. [ Leia mais sobre o hosts ]
SSL
A técnica já havia sido utilizada por alguns cavalos de tróia brasileiros, especialmente o Banhost-B. Com seu uso, os criminosos conseguem hospedar uma cópia do site do banco em um servidor falso e redirecionar o endereço do site verdadeiro para este site falso.
O resultado é que o endereço apresentado na barra de endereços será o mesmo do site real, porém o usuário estará navegando em um site controlado por criminosos.
A maior dificuldade dos criminosos para realizar esta façanha é manter os sites falsos no ar. Geralmente são usados servidores invadidos, pertencentes a outras pessoas, que estão sendo abusados ilegalmente. Quando o dono ou a empresa de hospedagem responsável por estes servidores toma conhecimento do problema, os sites falsos são retirados do ar imediatamente.
Um dos ataques observados pela Linha Defensiva utilizava 4 servidores diferentes, todos localizados no mesmo provedor nos Estados Unidos. Os principais alvos eram a Caixa Econômica Federal, Banco do Brasil e Hotmail. Outro golpe utilizava um servidor localizado no México e possuía sites falsos para 6 bancos diferentes.
Para efetuar o redirecionamento, o código malicioso altera o arquivo hosts do computador, redirecionando sites de bancos para os servidores falsos. Ao acessar o site do banco digitando o endereço correto no navegador, o computador — ao invés de consultar o provedor de acesso pelo destino correto — conecta ao endereço informado no hosts. O usuário então já estará em um site falso e tudo que ele enviar será recebido pelos golpistas. [ Leia mais sobre o hosts ]
SSL
O “cadeado” presente em sites de bancos poderia prevenir que esta técnica tivesse qualquer impacto. Um site de banco falso não pode apresentar o cadeado (HTTPS) ao usuário. Este cadeado é o resultado da utilização de SSL (Secure Sockets Layer), uma camada de segurança que, além de proteger a informação enviada, também certifica que o endereço do site atual é realmente o site que você quer.
Se o internauta for direcionado a um site malicioso pelo hosts (ou pelo DNS, como no Drive-by Pharming), o endereço que aparece no navegador ainda é o mesmo do site real, mas na verdade não se trata da mesma página do banco e sim de uma página controlada pelo criminoso. Usando SSL, o navegador não consegue verificar a autenticidade da página falsa e o cadeado não aparece.
Infelizmente, muitos bancos não utilizam o SSL de forma correta. Alguns não possuem a página principal protegida, mesmo que esta tenha um formulário onde a senha deve ser digitada. O correto seria possibilitar a verificação da presença do cadeado assim que o site fosse aberto, mesmo se não houvesse formulário na página principal.
Como a página principal não é protegida pelos bancos (por decisão dos próprios), a verificação não é possível. O usuário só consegue saber se o site é falso ou verdadeiro após digitar as informações no formulário, quando finalmente verá o “https://” na barra de endereço. E, se não ver, será tarde demais, pois já terá enviado sua senha aos criminosos.
Nos casos de código malicioso, SSL não é muito útil, pois, no momento que o computador está infectado, o criminoso possui, de uma forma ou outra, acesso aos dados que passam pelo sistema. Em casos de redirecionamento malicioso, como nesta técnica específica, Drive-by Pharming e envenenamento do cache DNS, o SSL seria uma peça importante.
BankerFix
Se o internauta for direcionado a um site malicioso pelo hosts (ou pelo DNS, como no Drive-by Pharming), o endereço que aparece no navegador ainda é o mesmo do site real, mas na verdade não se trata da mesma página do banco e sim de uma página controlada pelo criminoso. Usando SSL, o navegador não consegue verificar a autenticidade da página falsa e o cadeado não aparece.
Infelizmente, muitos bancos não utilizam o SSL de forma correta. Alguns não possuem a página principal protegida, mesmo que esta tenha um formulário onde a senha deve ser digitada. O correto seria possibilitar a verificação da presença do cadeado assim que o site fosse aberto, mesmo se não houvesse formulário na página principal.
Como a página principal não é protegida pelos bancos (por decisão dos próprios), a verificação não é possível. O usuário só consegue saber se o site é falso ou verdadeiro após digitar as informações no formulário, quando finalmente verá o “https://” na barra de endereço. E, se não ver, será tarde demais, pois já terá enviado sua senha aos criminosos.
Nos casos de código malicioso, SSL não é muito útil, pois, no momento que o computador está infectado, o criminoso possui, de uma forma ou outra, acesso aos dados que passam pelo sistema. Em casos de redirecionamento malicioso, como nesta técnica específica, Drive-by Pharming e envenenamento do cache DNS, o SSL seria uma peça importante.
BankerFix
O BankerFix, ferramenta de remoção da Linha Defensiva que remove pragas brasileiras, já é capaz de remover referências maliciosas do arquivo hosts.
Faça o download 100% gratuito
Faça o download 100% gratuito
Fonte: Linha Defensiva
Nenhum comentário:
Postar um comentário