Cuidado: Tentativa de Phishing usando a marca da Tim

Hoje minha mãe estava lendo os e-mails dela e me chamou quando viu um, supostamente enviado pela Tim, operadora de telefonia celular, dizendo que ela estava com pagamento atrasados. Havia um link para visualizar todas as dependências de pagamentos. Fui então investigar. O conteúdo do e-mail pode ser visto abaixo:

Esse golpe realmente caracteriza o Phishing, que é uma forma de obter informações pessoais relevantes de usuários desatentos. Normalmente o conteúdo do e-mail tem por objetivo fazer com que o usuário clique em algum link contido no próprio para daí realizar algum tipo de ataque.

A prática mais comum é explorar vulnerabilidades no navegador, ou mesmo nas configurações muito abertas no que diz respeito à segurança. Normalmente os usuários do Internet Explorer (thread aqui: há rumores que o nome oficial de projeto deste navegador seria Internet Exploder) andam com os recursos ActiveX ativados e liberados, se não, estão prontos para clicar em um “Sim” ou “Autorizo para este site” sem ler o conteúdo do aviso todo.

Desta forma, é possível criar uma aplicação que explore esta vulnerabilidade. Tipos mais audaciosos clonam sites de bancos, por exemplo, e fornecem formulários para que o cliente digite seus dados e os envie direto para a caixa de e-mail do atacante.

A primeira atitude que tomei foi entrar no site da organização e verificar se ela envia e-mails para seus clientes. Sem muita demora, encontrei a informação de que a Tim não resolve nenhum tipo de pendência com os clientes através de e-mail.

Fui então, explorar o caso mais tecnicamente. No link havia uma execução de código Javascript com uma URL codificada em Hex. Tive que usar um deobfuscator para decodificar a URL e, assim, conseguir mais informações. A URL remetia à execução de um arquivo .scr, que são as proteções de tela do Windows. Este tipo de ataque é comum, mas com outra forma, indicando ao usuário que se tratava de uma proteção com o tema X e na verdade não era. Só que o usuário normalmente está usando a conta com privilégios de Administrador do Windows, então, já era.

Este arquivo seria baixado direto de um IP válido, sobre o qual não consegui informações muito relevantes além do já esperado: era um servidor aqui mesmo no Brasil. Esse IP aparentemente não está atrelado a nenhum domínio, pois não conseguir resolver nenhuma consulta por DNS reverso através dos root DNS servers que tentei.

Tentando avaliar a rota traçada juntamente às informações whois, dig e DNS reverso dos roteadores que delinearam os HOPs da rota, encontrei um router próximo, que estava identificado como sendo da Fundação de Amparo à Pesquisa do Estado de São Paulo, mais especificamente do Instituto Emílio Ribas. Se alguém conhecer um usuário ou administrador de lá, por favor avise sobre o ocorrido, afinal, qualquer um de nós pode chegar à qualquer outra pessoa do globo através de sete contatos não é? Portanto, que conseguir com um número menor, faça o favor. Tentei verificar algum padrão de funcionamento na máquina identificada pelo IP que descobri, porém ela parecia estar desligada.
Moral da história: Cuidado com os Phishings!

Artigos Relacionados:

• Acesso remoto a servidores através de firewalls usando AJAX - Parte 1
• Lançado Debian 4.0! O Etch agora é stable! Faça seu upgrade!
• Lançada revisão de segurança para Debian Sarge
• Criando um vírus atualmente
• Crackers atacam os principais servidores raíz da Internet
• Interface gráfica para gerenciamento de túneis SSH