Phishing do Bradesco

Dia 31, pagamento caindo e todo mundo correndo no Bradesco para ver o saldo. Eis que um usuário mais atento percebeu a falta do certificado SSL no site. No final uma passada do Trend confirmou dois trojans, mas antes, eu resolvi brincar com isso.

 

Primeiramente, joguei uma agencia errada e botei um numero de conta no site. O site real informaria que o cliente não existe, mas o Phishing passou. Em seguina, joguei como senha 1234, que foi prontamente aceita, me mandando para o página de confirmação da chave de segurança. Até aqui, com exceção do certificado SSL, e do teclado virtual ser o antigo, com letras e números (agora são só números) o site fake era idêntico ao real.

 

Dentro do site, tentei acessar a função de saldo, que no real não pede nenhuma confirmação, mas no fake, trouxe a tela abaixo.

 

Pesando ser algum ataque do tipo DNS poisioning, ou ainda que o vírus tivesse criado algo no HOSTS, testei o dominio bradesco.b.br (O .b.br é exclusivo para Bancos e tem o DNSSEC obrigatório, info em http://registro.br/info/dpn.html) que abriu, mas em alguns segundos foi direcionado para o .com.br fake. Já estava claro que se tratava de um vírus.

 

Enquanto o anti-virus fazia sua busca, resolvi usar o Wireshark para analisar a tentativa de phishing. Bingo! Com o IP do fraudador na mão, liguei para o atendimento do banco e informei a tentativa. Abaixo também há uma screenshot do Wireshark.

 

Para fechar a história, bloqueei esse IP no meu firewall, para mitigar o problema, e iniciei uma limpeza de vírus pela rede. Caso encerrado.

 

 


Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s