Janelas pop-ups falsas, telas sobrepostas e falsos navegadores são técnicas utilizadas por criminosos virtuais em seus códigos maliciosos para roubar senhas. Uma nova técnica — redirecionamento para sites falsos –, que antes já era usada, está começando a se popularizar.

A técnica já havia sido utilizada por alguns cavalos de tróia brasileiros, especialmente o Banhost-B. Com seu uso, os criminosos conseguem hospedar uma cópia do site do banco em um servidor falso e redirecionar o endereço do site verdadeiro para este site falso.

O resultado é que o endereço apresentado na barra de endereços será o mesmo do site real, porém o usuário estará navegando em um site controlado por criminosos.

A maior dificuldade dos criminosos para realizar esta façanha é manter os sites falsos no ar. Geralmente são usados servidores invadidos, pertencentes a outras pessoas, que estão sendo abusados ilegalmente. Quando o dono ou a empresa de hospedagem responsável por estes servidores toma conhecimento do problema, os sites falsos são retirados do ar imediatamente.

Um dos ataques observados pela Linha Defensiva utilizava 4 servidores diferentes, todos localizados no mesmo provedor nos Estados Unidos. Os principais alvos eram a Caixa Econômica Federal, Banco do Brasil e Hotmail. Outro golpe utilizava um servidor localizado no México e possuía sites falsos para 6 bancos diferentes.

Para efetuar o redirecionamento, o código malicioso altera o arquivo hosts do computador, redirecionando sites de bancos para os servidores falsos. Ao acessar o site do banco digitando o endereço correto no navegador, o computador — ao invés de consultar o provedor de acesso pelo destino correto — conecta ao endereço informado no hosts. O usuário então já estará em um site falso e tudo que ele enviar será recebido pelos golpistas. [ Leia mais sobre o hosts ]

SSL

O “cadeado” presente em sites de bancos poderia prevenir que esta técnica tivesse qualquer impacto. Um site de banco falso não pode apresentar o cadeado (HTTPS) ao usuário. Este cadeado é o resultado da utilização de SSL (Secure Sockets Layer), uma camada de segurança que, além de proteger a informação enviada, também certifica que o endereço do site atual é realmente o site que você quer.

Se o internauta for direcionado a um site malicioso pelo hosts (ou pelo DNS, como no Drive-by Pharming), o endereço que aparece no navegador ainda é o mesmo do site real, mas na verdade não se trata da mesma página do banco e sim de uma página controlada pelo criminoso. Usando SSL, o navegador não consegue verificar a autenticidade da página falsa e o cadeado não aparece.

Infelizmente, muitos bancos não utilizam o SSL de forma correta. Alguns não possuem a página principal protegida, mesmo que esta tenha um formulário onde a senha deve ser digitada. O correto seria possibilitar a verificação da presença do cadeado assim que o site fosse aberto, mesmo se não houvesse formulário na página principal.

Como a página principal não é protegida pelos bancos (por decisão dos próprios), a verificação não é possível. O usuário só consegue saber se o site é falso ou verdadeiro após digitar as informações no formulário, quando finalmente verá o “https://” na barra de endereço. E, se não ver, será tarde demais, pois já terá enviado sua senha aos criminosos.

Nos casos de código malicioso, SSL não é muito útil, pois, no momento que o computador está infectado, o criminoso possui, de uma forma ou outra, acesso aos dados que passam pelo sistema. Em casos de redirecionamento malicioso, como nesta técnica específica, Drive-by Pharming e envenenamento do cache DNS, o SSL seria uma peça importante.

BankerFix

O BankerFix, ferramenta de remoção da Linha Defensiva que remove pragas brasileiras, já é capaz de remover referências maliciosas do arquivo hosts.

Faça o download 100% gratuito »

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.