Em diversas ocasiões discutimos e analisamos diferentes casos de phishing que têm afetado uma ampla gama de instituições financeiras, companhias aéreas, cartões de crédito e redes sociais. Contudo, o phishing que encontramos dessa vez ainda não se diferencia de outros por seu objetivo ou entidade afetada (um importante banco brasileiro), mas marca uma nova tendência nesse tipo de ataque ao ser geolocalizado, ou seja, somente pode ser acessado a partir de computadores que estejam no Brasil (utilizando um endereço IP desse país) ou um servidor proxy do mesmo país. Qualquer acesso que seja feito a partir de outra parte do mundo é negado e não é exibido o phishing, mas sim uma mensagem de proibição.

Para alcançar esse objetivo, os criminosos virtuais empregam uma tecnologia conhecida como geolocalização, técnica que permite detectar o país de origem da visita para permitir ou negar o acesso, dependendo do critério estabelecido. Nas telas a seguir, podemos ver o que ocorre quando se tenta acessar o phishing a partir do Brasil e, em seguida, a partir de outro país qualquer.

Através da geolocalização, os criminosos são capazes de cumprir dois objetivos que, de outra maneira, seria impossível. Primeiramente, maximizam a possibilidade de obter lucro ao garantir que somente as pessoas pertencentes ao grupo-alvo do ataque (neste caso, usuários brasileiros) possam acessar o site fraudulento. O motivo desta implementação está no fato de usuários de outros países não representarem nenhum tipo de lucro, porque, além de falarem outro idioma, não terão uma conta bancária no Brasil. Além disso, quanto mais pessoas visualizem a fraude, maior é a chance de que o site seja tirado do ar por excesso de consumo de banda do servidor no qual o phishing está alojado, ou porque alguém realiza uma denúncia.

Se a vítima em potencial for brasileira e não tomar os cuidados necessários para a prevenção, como não visitar links suspeitos, nem inserir informações confidenciais ou bancárias, estará acessando um golpe de phishing que, sem considerar a geolocalização, acaba sendo bastante normal com relação a outros. Em primeiro lugar, são solicitados dados como o número da conta e a senha de oito dígitos. Em seguida, uma senha de cartão de seis dígitos e para finalizar, outra de quatro dígitos. Finalmente, se diz à vítima que o processo foi concluído satisfatoriamente e que, a partir desse momento, poderá (ironicamente) utilizar novas funções de segurança.

Para evitar ser vítima desse tipo de ataque, devemos lembrar sempre que nenhuma instituição bancária ou similar solicita informações sensíveis através de meios como e-mail ou redes sociais, não importando o motivo ou a desculpa dada. Por último, mencionar que os cibercriminosos estão buscando, de forma contínua e ativa, novas ideias e estratégias com o objetivo de maximizar a quantidade de vítimas e assim obter maiores ganhos ilícitos. Um comportamento seguro e adequado na Internet permite reverter essa tendência.

André Goujon
Especialista de Awareness & Research

Categories: Alertas, Phishing
1 Comment »