A empresa de segurança RSA anunciou nesta quarta-feira (10/1) a descoberta de um kit que facilita a criação de sites falsos para roubar dados de internautas desatentos. De acordo com a RSA, o kit, que está sendo vendido na web, possibilita a criação instantânea de um endereço falso que funciona como uma ponte entre o internauta e o site verdadeiro. Para o usuário, o site falso será igual ao verdadeiro, porém toda a informação enviada será roubada pelo criminososo responsável pelo site.
Golpes que utilizam sites falsos parecidos com os originais são chamados de Phishing. A vítima sempre chega ao site falso seguindo um link presente em uma mensagem de e-mail enviada pelo criminoso. O conteúdo da mensagem geralmente afirma que o usuário precisa atualizar seus dados ou que a conta corre algum risco de ser fechada caso os dados não sejam confirmados clicando-se no link. Serviços como PayPal, eBay e Orkut são alvos comuns de ataques desse gênero.
A RSA diz que analisou uma versão “demo” de testes do kit, que se chama Universal Man-in-the-Middle Phishing Kit [Kit de Phishing Homem no Meio Universal]. Homem no Meio é um termo geral para ataques onde o criminoso fica no meio de uma conexão entre dois computadores que acreditam estar conectados diretamente com o outro. O kit é universal porque pode criar páginas falsas para quase qualquer site.
Para identificar sites falsos, alguns internautas tentam digitar dados de login incorretos, pois uma página falsa não consegue saber se aquela informação é legítima. Se o site aceitar a informação inválida, significa que ele é falso. Porém, páginas falsas criadas com o kit encontrado pela RSA verificam no site verdadeiro se os dados são válidos ou não, servindo como uma ponte. Como resultado, o site falso é exatamente igual ao verdadeiro, reproduzindo inclusive as páginas de erro de autenticação.
De acordo com a RSA, ataques de phishing que utilizam a técnica de homem no meio ainda são raros, mas devem se tornar comuns ainda este ano.
A Linha Defensiva recomenda que os usuários sempre digitem manualmente no navegador o endereço de sites que requerem o uso de usuário e senha. Caso o site seja usado freqüentemente, adicioná-lo aos favoritos pode ser uma boa idéia. Seguir um link de um e-mail que leva a uma página de login é perigoso. Se ainda assim um link for clicado, é importante verificar que o endereço presente na barra de endereços do navegador é realmente o do site desejado.
Linha Defensiva 
Vejamos,
“A Linha Defensiva recomenda que os usuários sempre digitem manualmente no navegador o endereço de sites que requerem o uso de usuário e senha.”
*No Phishing, clicar no link ou digitar o link no navegador vai dar no mesmo, nao!, minto!, digitar so tarda o processo de infeccao(rs).
“Caso o site seja usado freqüentemente, adicioná-lo aos favoritos pode ser uma boa idéia.”
*Ja existe codigos maliciosos que vasculham os favoritos e os alteram.
“Porém, páginas falsas criadas com o kit encontrado pela RSA verificam no site verdadeiro se os dados são válidos ou não, servindo como uma ponte.”
*Essa parte deixa claro que eh um lobo em pele de cordeiro.
E outra, usuarios dificilmente vao seguir essas e outras regras para verificar se isso ou aquilo eh verdadeiro, mesmo porque ele nao entende a logica da coisa toda(rede, html, etc…).
As empresas de seguranca que tem que se mover e criar ferramentas eficazes, sei que eh dificil mas eh a medida a ser tomada, como essa descrita pela Linha Defensiva.
cf.
CurtirCurtir
cf
Phishing não envolve qualquer “infecção” como você sugere, apenas uma página falsa.
Dê uma lida na entrada em inglês de Phishing na Wikipedia. Enquanto escrevi isso, buscar por “trojan” ou “virus” na página não retornava resultado, pois phishing não tem nenhuma relação com infecções.
No Brasil, poucos são os ataques de roubo de dados feitos dessa forma. Pessoalmente, vi 1 do Banco do Brasil, 1 da Caixa Econômica Federal (que nem usava uma página falsa e sim colocava o formulário dos dados direto no e-mail) e alguns mais do Orkut.
A maioria, aqui, ao invés de apresentar um site falso ao clicar no link, instala um trojan que rouba de dados do site verdadeiro quando o usuário o acessar. Porém, dizer que os ataques daqui são “phishing” é extender um pouco o termo e acho que ninguém fora do Brasil usa-o para golpes que envolvem trojans.
Se a máquina já está comprometida, nada faz diferença.
Novamente, phishing não tem nenhuma relação com infecções.
Tem uma matéria no SecurityFix que descreve exatamente o que eu falei: uma página falsa que rouba dados sem códigos maliciosos e que envia os dados para o site verdadeiro para verificá-los.
Veja aqui.
Se os usuários realmente não aprendessem nada, novas técnicas não seriam necessárias.
CurtirCurtir