Engenharia social via e-mail, a arte de ludibriar

A cada dia que passa está ficando mais difícil identificar o que é falso e o que não é. Hoje recebi um e-mail que parecia tão real que o anti-spam não pegou e a formatação do e-mail estava tão perfeita que se eu tivesse conta neste banco até iria pensar em acreditar. Segue abaixo o email recebido:

image

Porém, ao colocar o cursor do mouse no link que diz (clique aqui) vi que o caminho de destino do link ia para um canto totalmente diferente do banco, conforme mostrado abaixo:

image

Um domínio da Austrália….um banco no Brasil de uma conta que eu não tenho…humm, ok. Fiz o acesso por em um ambiente isolado que tenho e ao acessar este link fui redirecionado para uma página que parecia de fato que era do Banco, claro que não era devido a URL (conforme mostra abaixo):

image

Veja que a URL (em amarelo) denuncia a falsificação:

– Uma URL (endereço) que não é do Banco.
– Não usa HTTPS, o que é uma prática que os bancos não fazem quando o usuário tem que digitar a senha.

Fiz um teste para verificar se digitando dados invalidos (de conta e agência) ele iria passar e não passou. Com isso verifiquei no código que ele fazia uma validação:

image

Baixei este Javascript e verifiquei que os testes eram simples, mas suficientes para que o usuário ao digitar errado e receber uma mensagem de erro acreditar que o site parecia válido. Segue um trecho do teste que o script fazia:

image

O site era muito similar e sem dúvida pessoas que não ficam atentas a estes detalhes iriam de fato digitar os dados da conta, inclusive a senha.

O que fazer quando detectar um site falso?

Reporte o site falso usando o SmartScreen do Internet Explorer. Enquanto estiver navegando no site use a opção abaixo:

image

Ao clicar nesta opção outra página vai abrir e você deverá marcar a opção adequada assim como o idioma adequado conforme mostra abaixo:

image

Seja um evangelizador da Internet segura e denuncie sites falsos.

Até a próxima!

This entry was posted in Phishing, segurança. Bookmark the permalink.

One Response to Engenharia social via e-mail, a arte de ludibriar

  1. Pingback: Os Riscos Reais do BYOD | Yuri Diogenes

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s