Linha Defensiva prioriza combate a proxies maliciosos e phishing

A Linha Defensiva anuncia que passou a priorizar o combate ao tipo de fraude virtual conhecida como “proxy malicioso”, chamada pela empresa de segurança Imperva de “Boy in the Browser[1. Uma referência ao ataque “homem no meio”, que é uma forma mais avançada do ataque.]” (“Garoto no Navegador”). Nessa modalidade de fraude, o navegador do usuário é configurado para usar um proxy — um computador malicioso que fica de ponte entre o acesso do internauta e o site do banco. Com isso, o navegador é direcionado para um site falso que irá roubar as senhas do internauta. Os proxies são normalmente instalados por vírus e applets Java maliciosos colocados em sites populares infectados.

Os criminosos virtuais brasileiros têm utilizado essa técnica com mais frequência, tomando o lugar dos vírus registradores de senhas digitadas (keyloggers) que por muito tempo dominaram o cenário de cibercrime do país, mas que já são superados pelos golpes de phishing. O ataque de proxy malicioso é interessante, pois junta as facilidades do phishing com o poder dos cavalos de troia: o navegador web exibe, no site falso, o endereço válido do banco que está sendo acessado.

Em apenas uma semana, 170 páginas falsas coletadas de proxy maliciosos foram informadas ao site PhishTank. Em um mês, foram identificados 51 servidores controlados por criminosos usados nos ataques. Esses números se devem à facilidade da realização da fraude. O arquivo principal utilizado, chamado de arquivo de configuração automática de proxy (Proxy Automatic Configuration – PAC) pode ser hospedado em qualquer local, pois se trata de um arquivo de texto simples, que pode ser criado no Bloco de Notas do Windows, por exemplo. Se as páginas falsas não forem combatidas, o PAC pode ser trocado de local facilmente, dando um tempo de sobrevivência ao ataque que é superior ao de outras fraudes.

A equipe de Análise e Resposta a Incidentes de Segurança da Linha Defensiva (ARIS-LD) foi a primeira a noticiar a a existência desses ataques em 2009. Os ataques deram certo e resultaram em ataques semelhantes, que estão se repetido com cada vez mais frequência.

Phishing

Os ataques de proxy malicioso são uma extensão do tipo de fraude conhecida como phishing – páginas de banco clonadas que são enviados por e-mail às vítimas. O internauta que acessar essa página irá ceder suas informações aos criminosos.

O proxy malicioso funciona de forma semelhante, pois o vírus não precisa ter a capacidade de registro de senha. O proxy força o navegador a abrir um site falso no endereço legítimo do banco, dificultando a identificação dos ataques.

Colaboração e parcerias

A Linha Defensiva está aberta para a formação de parcerias. Os links identificados estão atualmente sendo informados ao PhishTank, mas o desejo da equipe de segurança do site é estreitar laços com grandes empresas que atuam na área para combater efetivamente esta ameaça. Os endereços onde se localizam os arquivos PAC, por exemplo, não podem ser enviados para o PhishTank, porque não estão envolvidos diretamente com o phishing.

Existe ainda um desafio para a análise desses ataques por parte de empresas estrangeiras. Muitas fraudes brasileiras usam o bloqueio de endereço IP por localização geográfica (geoip), impedindo que qualquer computador fora do Brasil veja as páginas maliciosas. Com isso, muitos ataques seguem sem identificação pelo próprio PhishTank e por companhias antivírus que verificam os sites a partir de laboratórios localizados em outras regiões do planeta.

O ARIS-LD está em contato com empresas atuante nesse meio para iniciar parceiras. Interessados podem entrar em contato diretamente com o ARIS no formulário de contato do site ou pelo e-mail para encaminhar links suspeitos.