Defenda-se de ataques de phishing scam

18/07/2006 Written by Marcelo Almeida (Vympel)

ladrao Diariamente usuários são enganados ao redor do mundo por ataques conhecidos como phishing scam.
Estes tipos de ataques levam o usuário a crer que uma pessoa ou instituição está enviando algo para ele, como um cartão virtual ou uma solicitação e/ou verificação de dados.
Estes ataques acontecem geralmente por: ataque de URL Spoof, e-mails solicitando que entre em contato com o banco por meio de um formulário on-line ou por telefone ou informando que o usuário recebeu um cartão virtual.

Para o ataque de url spoof, o usuário quando recebe um e-mail e coloca o mouse sobre o link, na barra de status aparece o nome real que o cracker quer que usuário acredite ser.
Na imagem 1 podemos observar um ataque de url spoof.
Quando clicamos neste link o endereço que abre é do site www.google.com.br, mas quando passamos o mouse sobre o link mostra a url do site do Banco do Brasil…

Este ataque pode ser utilizado pelo phishing scammer fazer o usuário preencher um formulário on-line, onde seus dados serão capturados e enviados por e-mail para o estelionatário. De posse destes dados ele poderá efetuar alguns tipos de transações eletrônicas como se fosse o usuário real da conta.
Para evitar este tipo de ataque basta clicar com o botão direito do mouse sobre o link, como mostra na figura 2, assim o link real que está oculto aparece.

Estes ataques usam falhas nos softwares de leitura de e-mails que não tem uma proteção para este tipo de ataque e/ou não foi lançada alguma correção. Deixando os usuários serem vítimas destes tipos de ataques.

Outra forma muito comum que os crackers utilizam é enviar um Cartão Virtual ou um e-mail de alguma forma de cobrança de dívidas, SPC Serasa ou Conta Telefônica etc, para os usuários. Com esta técnica eles levam o usuário a clicar no link da página, que geralmente está com a técnica de url spoof para visualizar o cartão ou ver as dívidas pendentes deste usuário perante alguma empresa.

Para os cartões virtuais geralmente o usuário é induzido a fazer o download de um arquivo que contém um software conhecido como keylogger.

Este software irá capturar todas as teclas digitadas e url visitadas e enviará para o cracker como mostra na figura 3, assim que o vírus é instalado ele notifica o criador colando informações como url’s visitadas e senhas armazenadas de e-mails ou sites e a listagem de softwares instalados.

Para remover o software de pishing scam não é uma tarefa muito simples e muitos antivírus não o reconhecem, pois podem ter sido desenvolvidos por algum programador brasileiro e até as companhias de antivírus perceberam que máquinas estão infectadas com determinado software espião pode ser tarde de mais.
Na figura 4, podemos observar o vírus em execução pelo software Process Explorer da SysInternals.
Clicando com o botão direito sobre o processo do vírus podemos mandar matar o processo (kill process) e podemos observar o caminho de onde o vírus está escondido e poderemos ir até esta pasta e mandar deletar o vírus.

Antes de fazer qualquer modificação no registro o usuário deve fazer um backup completo do registro para poder recuperar alguma entrada importante que possa ser deletada por acidente (não recomendamos ninguém fazer alterações no registro se não souber o que está fazendo).
Para efetuar o backup do registro, dentro do regedit (iniciar /executar /regedit) click sobre a opção Meu Computador/Arquivo/Exportar e escolha um nome para salvar a cópia do registro.

Após estes passos deveremos entrar no registro (iniciar /executar /regedit) e mandar procurar pelo nome_do_vírus.extensão e todas as entradas do registro que contiverem esta referência no painel da direita, deverão ser deletadas como mostra a imagem 5.

Os usuários além de executar estes tipos de vírus se acham protegidos contra estes tipos de ataques pois usam o “teclado virtual” do banco para digitar os dados.
Este tipo de ferramenta é usado para ser uma proteção a mais para o usuário, mas não a única, e são facilmente identificadas por um pishing scammer conforme mostra a imagem 6.

Criei este vírus para capturar teclas do teclado virtual do meu banco, para demonstrar como os dados são facilmente capturados e apesar do número clicado não estar nítido,pois o banco usa uma proteção do cursor do mouse, podemos observar pela seqüência de captura quais os dígitos o usuário estava clicando.

Em alguns tipos de ataques o phishing scamer usa algum tipo de vírus para instalar uma cópia da pagina dentro da máquina do usuário e quando o nome do banco é digitado a página falsa é executada.
Este tipo de ataque é mais fácil de se identificar pois o cracker usa uma cópia real do site mas a URL (endereço do site) é totalmente diferente da original do banco. Esta versão de golpe é facilmente evitada digitando o nome do seu_banco.com.br (observe quantas janelas do browser abrem fazendo alt+tab e por garantia digite a primeira senha errada) e nunca usando endereços enviados por QUALQUER pessoa.

Outro passo importante é um usuário jamais abrir um link de nenhuma empresa conhecida como, a Receita Federal, Serasa/SPC ou empresas telefônicas, pois eles não irão usar o e-mail para comunicar seus clientes de algo.
Para cartões virtuais apenas não os abra. Se enviarem um cartão ou fotos de uma pessoa famosa ou cenas inéditas de tal coisa simplesmente ignore estes e-mails.
Para navegar e receber e-mails com mais segurança experimente o software SanboxIE, que impede a execução destes vírus e o browser como o Firefox que bloqueia estes ataques de URL Spoof.
Assim seu micro e sua conta bancária estarão um pouco mais seguros.

Figura1
figura1

Figura 2
figura2

Figura 3
figura3

Figura 4
process_kill

Figura 5
reg_vir

Figura 6
vir_img

Share this content: