Esta semana está bem corrida devido à alguns compromissos e já estava me perguntando se ia ser possível cumprir a meta de 2 posts por semana quando chega no meu e-mail uma amostra de um phishing encaminhada por um cliente utilizando o Banco do Brasil como isca.
Sandbox preparada e vamos iniciar a análise, eis que ao clicar no link no corpo do e-mail vem a surpresa, "Cade o malware?". Pois bem, este e-mail não tem malware para download, script malicioso ou algo do tipo, fui seguindo o site para o qual fui direcionado como se estivesse caindo no golpe e simplesmente não tem nenhum malware, o que é o golpe então?
A resposta da pergunta é bem simples, ao clicar no link do e-mail fui direcionado para um clone "quase" perfeito do site do Banco do Brasil, realmente o cracker teve muito cuidado ao fazer a cópia do site, alguns pontos obviamente denunciam a fraude, porém ao pensar no meu próprio comportamento ao acessar meu bankline percebi que alguns deles passariam despercebidos.
Fiz questão de destacar na screenshot do e-mail o primeiro ponto ao qual deveríamos nos atentar, o rementente, que neste caso veio de auto-atendimento-bb@gmail.com, vamos ignorar o fato de que os bancos informam aos usuários através de seus sites e canais de comunicação que nunca enviam e-mails para seus usuários, neste ponto temos um detalhe bem interessante apesar do e-mail do remetente ser do GMail, o nome de exibição está como Banco do Brasil S/A, levando em conta que alguns clients de e-mail ou webmails exibem somente este nome e deixam o endereço oculto, um usuário desavisado poderia não perceber este detalhe.
Analisando os links temos a seguinte URL:
http://haishen517.com/data/article/-/?6e60001ffd&view=att&th=1463cceb67f2f760&attid=0.1&disp=inline&safe=1&zw&saduie=AG9B_P-iXV68qEUTpMbs6CY92Azm&sadet=1401493847519&sads=GjWjfwwkzyfFzTZC9qLTl5rvA6e60001ffd&view=att&th=1463cceb67f2f760&attid=0.1&disp=inlin
Uma coisa que podemos notar é que ao clicar no link, o próprio Google Chrome nos avisa de que trata-se de um phishing como mostra a imagem abaixo.
Vamos levantar algumas informações osbre o domínio deste link, haishen517.com.
Utilizando a ferramenta whois descobrimos algumas informações sobre ele:
Domain Name: HAISHEN517.COM
Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
Whois Server: grs-whois.hichina.com
Referral URL: http://www.net.cn
Name Server: DNS11.HICHINA.COM
Name Server: DNS12.HICHINA.COM
Status: ok
Updated Date: 13-feb-2014
Creation Date: 13-feb-2014
Expiration Date: 13-feb-2015
Resumindo as informações, trata-se de uma empresa Chinesa do ramo alimentício, não consegui identificar exatamente o produto comercializado pois tem uma aparência bem estranha.
Estas informações nos levam a crer que provavelmente foi explorada alguma vulnerabilidade no site ou webserver e o cracker utilizou o mesmo para hospedar seu phishing.
Fiz uma rápida análise no domínio utilizando o Subgraph Vega, e em alguns minutos mais de 400 falhas graves foram encontradas no site, sendo 398 relacionadas a Cross-Site Script e duas informando que seus formulários trafegam os dados, incluindo usuários e senhas em texto plano, um detalhe é que ao verificar estes dados a análise ainda não havia chegado em 50%.
Seguindo em frente ignorei o aviso do chrome e descobri que nosso site chines tinha somente uma index que me redirecionou para um segundo site:
http://www.ischiaprenota.it/script/cache/5195e223ddabe0c03549faf9667a3.timthumb.txt/3549fa3549fa3549fa//index.php?6e60001ffd&view=att&th=1463cceb67f2f760&attid=0.1&disp=inline&safe=1&zw
Verificando o domínio com o whois temos:
Domain: ischiaprenota.it
Status: ok
Created: 2012-04-11 18:27:39
Last Update: 2014-05-24 10:50:09
Expire Date: 2015-04-11
Registrant
Name: Zeus Travel S.r.l.
Organization: Zeus Travel S.r.l.
ContactID: ARU84051R-779456
Address: Via Giovanni Mazzella, 181
FORIO D'ISCHIA
80075
NA
IT
Created: 2012-04-11 18:27:37
Last Update: 2012-04-11 18:27:37
Admin Contact
Name: Gianluca Borrelli
Organization: Zeus Travel S.r.l.
ContactID: ARU58042A-313808
Address: via C. Colombo, 19
LACCO AMENO
80076
NA
IT
Created: 2012-04-11 18:27:38
Last Update: 2012-04-11 18:27:38
Acessando o domínio podemos ver que trata-se de uma rede de Hoteis da Itália, ou seja mais um site comprometido hospedando phishing.
Fiz uma análise neste domínio também utilizando o Vega, e mais uma vez antes mesmo dos 50% da análise várias falhas graves foram encontradas como SQL Injection e Cross Site Scripting.
ANÁLISE DO PISHING
Como mostra a imagem acima a cópia do site está muito bem feita, sendo que não existem erros na formatação ou outros detalhes que possam chamar a atenção inicialmente, o único ponto que notei neste momento foi que nenhum dos links funciona, porém nenhum deles exibe erros, ao clicar somos direcionados novamente para o mesmo site, as duas Dropdown onde é possível selecionar o país e o titular da conta também não funcionam, era justamente sobre esses detalhes que comentei no início quando disse que certos detalhes realmente teriam passado despercebidos pensando no processo que eu mesmo faço ao acessar o internet banking, eu nunca clico em nada no corpo do site por exemplo.
Meu primeiro teste foi preencher os campos de agencia e conta com "0", e mais uma demonstração do capricho do cracker, o formulário tem uma função em java script tanto para o campo de agencia quanto para o campo de conta que valida os números digitados, segue abaixo a função:
function macTools() {
if ( document.form.pac01.value == "" ||
document.form.pac01.value == "Agência" ||
document.form.pac01.value.length < 6 ||
document.form.pac01.value == "0000-0" ||
document.form.pac01.value == "1111-1" ||
document.form.pac01.value == "2222-2" ||
document.form.pac01.value == "3333-3" ||
document.form.pac01.value == "4444-4" ||
document.form.pac01.value == "5555-5" ||
document.form.pac01.value == "6666-6" ||
document.form.pac01.value == "7777-7" ||
document.form.pac01.value == "8888-8" ||
document.form.pac01.value == "9999-9"){
alert ("Agencia invalida!");
document.form.pac01.focus(); return false;
}
if (document.form.pac02.value == "" ||
document.form.pac02.value == "Conta" ||
document.form.pac02.value.length < 5 ||
document.form.pac02.value == "000000000" ||
document.form.pac02.value == "111111111" ||
document.form.pac02.value == "222222222" ||
document.form.pac02.value == "333333333" ||
document.form.pac02.value == "444444444" ||
document.form.pac02.value == "555555555" ||
document.form.pac02.value == "666666666" ||
document.form.pac02.value == "777777777" ||
document.form.pac02.value == "888888888" ||
document.form.pac02.value == "999999999"){
alert ("Conta invalida!");
document.form.pac02.focus(); return false;
}
Tentei uma sequencia de números mais parecida com um número de conta real e funcionou.
Em seguida foi exibido um novo formulário, agora pedinco a senha do autoatendimento com 8 dígitos.
Mais uma vez tentei uma senha simples e fui novamente informado de que minha senha não era válida, abaixo o trecho de código que faz a verificação dela:
<script language="javascript">
function macTools() {
if (document.form.pac03.value == "" ||
document.form.pac03.value.length < 8 ||
document.form.pac03.value == "00000000" ||
document.form.pac03.value == "11111111" ||
document.form.pac03.value == "22222222" ||
document.form.pac03.value == "33333333" ||
document.form.pac03.value == "44444444" ||
document.form.pac03.value == "55555555" ||
document.form.pac03.value == "66666666" ||
document.form.pac03.value == "77777777" ||
document.form.pac03.value == "88888888" ||
document.form.pac03.value == "99999999"){
alert ("Senha de autoatendimento, invalida!");
document.form.pac03.focus(); return false;
}
}
</script>
Ao colocar uma senha mais complexa, um novo formulário pedindo novas informações.
Novamente o formulário está repleto de funções para verificação dos dados, inclusive do CPF que tive algumas dificuldades para digitar um que desse como válido, veja que ao digitar todos os dados agora o cracker ter as seguintes informações de sua conta:
- Agencia
- Conta
- Senha da internet
- Telefone Celular
- CPF
- Senha do cartão
- Senha do auto atendimento
Estas informações são mais do que suficientes para que o mesmo execute operações bancárias como saques, transferências e pagamentos.
Ao informar estes últimos dados, mais dados solicitados:
Depois de confirmar este últimos dados somos direcionados para uma última página com o seguinte aviso:
CONCLUSÃO
A análise deste e-mail veio bem a calhar neste momento, ontem pela manhã estava justamente tendo uma conversa com um cliente sobre este tipo de situação, a pergunta principal é, como podemos nos proteger em um caso deste?
Vale lembrar que o site clonado foi muito bem feito, com formulários cheios de validações de dados, com a formatação correta e outros detalhes que dificultam muito a identificação da fraude por usuários leigos.
Primeiramente, somente com a proteção tradicional de um antimalware este ataque não teria sido barrado, uma vez que não existe malware envolvido, estar atendo aos avisos que o próprio sistema pode lhe dar é sempre importante, lembrando que neste caso o próprio Chrome havia nos avisado de que era um phishing. Outro ponto importante é sair da proteção convencional e começar a pensar na segurança em camadas, neste caso somente uma ferramenta que pudesse analisar o tráfego de e-mail, ou uma ferramenta que pudesse analisar a navegação poderiam ter ajudado, tenho citado nos outros posts as ferramentas da Trend Micro por fazer parte da rede de parceiros desta empresa, desta forma são as ferramentas que melhor conheço e posso recomendar, neste caso as funcionalidades dos recursos do Web Reputation e do Mail Reputation teriam sido de grande ajuda, mas independente e ferramentas, o que deve existir é a política de segurança.
Nenhum comentário:
Postar um comentário