Phishing Scam por telefone

28/06/2006 Written by Marcelo Almeida (Vympel)

phishingUma nova maneira de phish­ing scam (ofer­e­cem algo em troca de seus dados) está começando a ficar bas­tante pop­u­lar entre os crim­i­nosos da inter­net, agora eles usam uma isca nova, o tele­fone. Uma com­pan­hia de segu­rança da inter­net, infor­mou que os phish­ing scamer’s agora não usam o e-​mail como a única fer­ra­menta para iludir o usuário a fornecer seus dados.

O ataque parte na maneira usual dos out­ros ataques de phish­ing um e-​mail dizendo que o banco irá dar algo para o cliente mas em vez de solic­i­tar que o cliente abra algum site eles pedem para o cliente ligar para um deter­mi­nado número telefônico.

A téc­nica prin­ci­pal usada nestes ataques de phish­ing claro,  é a Engen­haria Social que atrai o usuário para exe­cu­tar alguma ação em algo que eles se sin­tam seguros, e que terão algum tipo de bene­fí­cio. Somando…

…uma forma secundária de con­tato por tele­fone, os usuários se sen­tem seguros a fornecer suas infor­mações pessoais.

Abaixo segue uma cópia do e-​mail recebido:

Querido Cliente, 

Nós ver­i­fi­camos que sua conta foi aces­sada 3 vezes com a senha incor­reta. Para garan­tir sua segu­rança esta­mos blo­que­ando sua conta e solici­ta­mos que você entre em con­tato o mais breve pos­sível com o Santa Bár­bara Bank & Trust pelo tele­fone (1 – 805-​XXX-​XXXX) para ver­i­fi­car­mos sua iden­ti­dade e fazer o des­blo­queio de sua conta.

Sin­ce­ra­mente,  

Santa Bar­bara Bank & Trust Inc. 

Atendi­mento ao con­sum­i­dor On-​line 

Ao tele­fonar ouvi­mos uma gravação que solic­i­tou que o usuário entrasse com os 16 números da conta, e como a gravação não estava muito boa, nós tam­bém ten­ta­mos adi­v­in­har que estariam solic­i­tando a senha do usuário para efe­t­uar o des­blo­queio da conta.

Os inva­sores nem mesmo se deram o tra­balho de mon­tar um sis­tema sofisti­cado, como as decod­i­fi­cações dos tons intro­duzi­das são decod­i­fi­cadas facil­mente para números reais. Como os usuários de Inter­net estão (lenta­mente) começando a se dar conta dos esti­los de phish­ing ataques, nós acred­i­ta­mos que ver­e­mos em breve out­ras ver­sões para este tipo de ataque.

Por Vym­pel:
Este teste foi real­izado por um mem­bro do Zone-​H no Esta­dos Unidos mas este tipo de inci­dente já ocor­reu com cor­ren­tis­tas de um banco famoso aqui no Brasil. O ataque era sim­il­iar só que a maneira primária do ataque não foi o envio do e-​mail mas sim o con­tato direto por tele­fone.
O falso fun­cionário do banco infor­mava alguns dados do esta­be­li­mento com­er­cial e ou cor­ren­tista e pedia para o mesmo ir con­fir­mando, assim que ter­mi­nava esta etapa o este­lion­atário pedia para o cor­ren­tista aguardar na linha até entrar o serviço “atendi­mento nome_​do_​banco_​line” para ele dig­i­tar a numer­ação da conta e sen­has para ter­mi­nar a “atu­al­iza­ção do cadas­tro.
Em poucos min­u­tos este cliente foi ver­i­ficar sua conta bancária e viu que um trans­fên­cia (grande) tinha sido efe­t­u­ada então o mesmo entrou em con­tato com o banco o qual solic­i­tou que o mesmo com­pare­cesse ao banco para efe­t­uar a mudança da senha e os pro­ced­i­men­tos necessários para a recu­per­ação deste dinheiro.

Uma coisa neste caso não ficou bem clara, como o cor­ren­tista pode­ria trans­ferir o lim­ite de 1X de reais e os este­lion­atários con­seguiram trans­ferir 3X mais o lim­ite que o próprio dono da conta se quisece não con­seguiria. Ou era uma quadrilha muito bem orga­ni­zada (con­tando com ajuda talvez de alguém de den­tro do banco) ou o o sis­tema deste banco tinha alguma falha que eles sabiam e a explo­raram para con­seguir trans­ferir acima do lim­ite disponível por dia do cliente em poucos segundos.


Share this content: