Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

quarta-feira, 23 de maio de 2012

A nova era do Phishing

Para quem não sabe, phishing é uma tecnica de PESCARIA, onde criminosos, enviam emails falsos, com assuntos interessantes tentando PESCAR suas vitimas.
Se existe arquivo (malware), envolvido, é detalhe. Tudo começa com um SPAM que não parece SPAM.

Recebi um email hoje, que me chamou atenção.

A parte mais legal de todas ...  EU NÃO TENHO CARTÃO dessa marca ..
Eu como um clicador compulsivo, cliquei .

A pagina pede os dados do meu cartão, meu CPF, minha senha e um texto ( captcha ).
Esse texto (captcha) é só para fazer o golpe parecer mais real.

Mesmo sabendo que muita gente que irá ler esse BLOG é da área de informática, não custa sempre re-lembrar algumas dicas.

Agora vamos a analise:
O dominio utilizado  " alimentopass.info " é um nome "bonito", criado exatamente para enganar as pessoas, tentando passar credibilidade.
A página real da empresa é exatamente igual a essa, porem SEM o item  SENHA DO CARTÃO.

Um pouco mais a fundo..
As informações do Whois são muito genéricas. .

Domain ID:D46534522-LRMS
Domain Name:ALIMENTOPASS.INFO
Created On:22-May-2012 04:48:07 UTC
Last Updated On:22-May-2012 04:48:08 UTC
Expiration Date:22-May-2013 04:48:07 UTC
Sponsoring Registrar:Vitalwerks Internet Solutions, LLC DBA No-IP (R515-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:NOIP4fbb1a2c6653
Registrant Name:silva silva
Registrant Organization:
Registrant Street1:rua lauro de freitas 90
Registrant Street2:
Registrant Street3:
Registrant City:sao paulo
Registrant State/Province:sp
Registrant Postal Code:03820-270
Registrant Country:BR
Registrant Phone:+1.125442873
Registrant Phone Ext.:
Registrant FAX:+1.125442873
Registrant FAX Ext.:
Registrant Email:bsilvaromualdo@uol.com.br
Name Server:NS1.NO-IP.COM
Name Server:NS2.NO-IP.COM
Name Server:NS3.NO-IP.COM
Name Server:NS4.NO-IP.COM
Name Server:NS5.NO-IP.COM

É interessante notar:

  • O dominio criado dia 22 de maio 2012 ( ONTEM ).
  • Quem registrou o dominio tem o nome :  Silva Silva 
  • O endereço de email, pode ser falso, ou de outra pessoa utilizado indevidamente.
  • O dominio usa endereços (Name Server) do NO-IP.COM ( nenhuma empresa séria usa isso)

Olhando o código fonte da pagina ...
A mesma esta codificada, tentando enganar as ferramentas de detecção.



RESUMO

Os golpes estão mudando, qualquer informação que possa valer algo para voce ou para alguem está na mira dos criminosos. Assim todo cuidado é pouco.
As empresas ainda estão brincando de Internet e isso deixa o processo mais vulneravel. Mesmo com campanhas sobre golpes, algumas empresa ainda enviam emails de premios . Sim, voce foi Sorteado de verdade. Quantos devem ter perdido o premio, e quantos acharam que receberam e foram lesados por criminoso.

Segurança Importa ? Quem sabe um dia as empresas passem a tratar a Internet como coisa série e a considerar fatores de segurança. Ou no minimo saber como tratar problemas de segurança.

Marketing é tudo, Segurança não Importa !

No final, pode continuar clicando, porem com moderação ...

PS: somente para ilustrar que isso não é uma brincadeira, no prórpio site existe uma lista crescente com mais de 60 pessoas que foram PESCADAS.




Update: 25/06/2012

Recebi hoje, mais uma mensagem da mesma empresa " vitima". Fiz o mesmo procedimento de notificação que a ultima vez e para testar, inclui diversos endereços de ABUSE, relacionados a essa empresa.
Mais uma vez ... mostrando o despreparo da empresa em tratar esse tipo de ameaça .
Será que eles se importam ?