Ataque de phishing usa páginas pré-prontas para roubar dados de usuários
Por Felipe Demartini • Editado por Claudio Yuge |
Um novo kit para ataques de phishing permite a criação de páginas falsas idênticas às reais, com direito ao uso de URLs legítimas, até mesmo por criminosos sem muita intimidade com a tecnologia necessária. A ideia da praga é inserir campos falsos de login, de forma que o usuário entregue suas credenciais aos bandidos acreditando estar logando em uma plataforma real.
- PSafe bloqueou 7 milhões de malwares nos últimos dois meses
- 5º Prêmio Canaltech: conheça prós e contras do Surfshark, campeão de Melhor VPN
Os golpes do tipo Browser in Browser (BiB) não são relativamente novos. O que torna a criação do especialista em segurança mr.d0x digna de nota, entretanto, é o fornecimento de layouts baseados nos serviços mais populares, como Google, Facebook e Dropbox. Assim, aumenta a possibilidade de ataques de phishing, já que o design costuma ser o principal meio de flagrar tentativas desse tipo.
Aqui, as páginas falsas são inseridas no próprio navegador, sobre a tela legítima, com direito a URL oficial e até indicadores de segurança sendo exibidos como forma de dar mais aparência de legitimidade. O foco é o navegador Google Chrome, em suas versões Windows e Mac, com direito até mesmo a reconhecimento do uso de versões claras ou escuras do software; os dados, logicamente, são enviados a servidores sob o controle dos criminosos, para uso em novos ataques.
O responsável pela criação publicou o layout das páginas usadas em golpes BiB em sua conta no GitHub, assim como um artigo em que detalha um pouco mais sobre a técnica. Mr.d0x, entretanto, aponta que o método não é necessariamente novo e já havia sido usado em golpes contra usuários da Steam, também como forma de obter credenciais de jogadores para roubar contas recheadas de títulos, que possam ser revendidas.
Por outro lado, essa é a primeira vez que um kit de ataque de phishing dessa categoria acompanha páginas pré-prontas similares às dos principais serviços. A ideia da prova de conceito é que seja usada em testes e treinamentos de segurança digital, principalmente entre colaboradores de grandes empresas, de forma a exibir versões mais sofisticadas de golpes desse tipo, que já estão começando a acontecer na medida em que os usuários ficam mais espertos para tentativas assim.
Fonte: mr.d0x, Bleeping Computer