Tentativas de Phishing por SMS já não são mais novidade, todos os dias diversas tentativas de ganhar acesso indevido a contas bancarias são realizadas por meio deste vetor:

SMS Malicioso Recebido

SMS Malicioso Recebido

 

Aplicação Falsa de Internet Banking

Aplicação Falsa de Internet Banking

Golpe Conhecido Ainda causa Danos

Muitos usuários já identificam facilmente que essas mensagens tratam-se de um golpe, contudo, ainda é grande o número de pessoas que acabam caindo em golpes desse tipo, o que permite certa taxa de êxito neste tipo de ataque. No passado, tive a oportunidade de analisar um phishing deste tipo. Além de ousados, os criminosos mostram-se um tanto quanto descuidados ou mesmo com pouco conhecimento técnico, identifiquei uma falha no site malicioso que permitiu olhar mais de perto o que foi capturado por esse criminoso: 

Dados capturados armazenados em txt, no servidor do criminoso.

Dados capturados armazenados em txt, no servidor do criminoso.

 

Dados de conta fake usada por nós durante a análise

Dados de conta fake usada por nós durante a análise

Como podemos perceber este tipo de ataque ainda rende bons frutos para os criminosos. 

Engenharia Social

Ontem dia 26/06/2018, algumas pessoas se manifestaram por meio de grupos de whatsapp e redes sociais mencionando um ataque de engenharia social. Esse ataque tem por objetivo o acesso indevido a contas do whatsapp. Um amigo relatou que recebeu uma ligação de uma pessoa se passando por funcionário da operadora de telefonia, dizendo que o mesmo deveria ativar uma “camada de segurança” e, para isso, ele deveria informar um código que havia acabado de receber por SMS, o que na verdade tratava-se de um código de recuperação de senha whatsapp.

Código de Recuperação do Whatsapp requisitado pelo criminoso

Código de Recuperação do Whatsapp requisitado pelo criminoso

Em outro caso a ligação também conhecida como ataque de voice phishing, foi mais elaborada, o criminoso iniciou e manteve um diálogo com a vítima até se sentir seguro e conseguir um pretexto para induzir a vítima a clicar no link e passar o código de recuperação de senha.  

Caso um ataque como esse seja bem-sucedido os danos podem ser enormes, sabemos o quanto o Whatsapp é utilizado a todo momento nos âmbitos pessoais e profissionais. O criminoso teria acesso a fotos, arquivos, grupos e etc. 

Diversos investimentos podem ser feitos na área de segurança, mas de nada irá adiantar se o colaborador não estiver preparado para lidar com estas “investidas”. Ataques de phishing e voice phishing podem ser extremante eficazes e devastadores, um e-mail falso ou uma ligação ardilosa podem fornecer a um invasor acesso a suas informações e sua rede. Realizamos periodicamente, para nossos clientes, ciclos de testes que são compostos por campanhas de conscientização e ataques de engenharia social, afim de conscientizar e treinar os colaboradores a estarem atentos a este tipo de ameaça. Um jornalista americano esteve na Defcon, um dos maiores eventos hackers do mundo, com o objetivo de desafiar hackers a invadirem sua vida virtual. O vídeo abaixo é uma amostra de quão devastador pode ser um ataque de voice phishing:

https://www.youtube.com/watch?v=zbKyf13946E 

Portanto caros amigos e leitores, estejam atentos, desconfiem, questionem, tenham o máximo de zelo e cautela com suas respectivas informações. Caso identifiquem alguma ameaça deste tipo entre em contato conosco. Temos interesse em analisá-la e ajudá-lo. 

Por Oliveira Lima Jr.
Consultor e Pesquisador de Segurança da Informação | Real Protect Security Red Team