Golpe sofisticado de phishing tenta roubar número e senha de cartão de crédito do Itaú

Um site de phishing está usando um domínio aparentemente legítimo para roubar números de cartão de crédito Itaucard, data de validade, código de segurança, senha e CPF. O endereço tem HTTPS e não parece suspeito, mas foi registrado na República Checa. Além disso, a página verifica se o número do cartão e do CPF são válidos. Ela foi denunciada ao Itaú há cerca de uma semana, mas permanece no ar.

Foto por Steve Buissinne/Pixabay

Eu recebi um SMS nesta segunda-feira (11) à noite dizendo: “tentativa de uso do seu ITAUCARD, verifique seu extrato em itaucard[.]digital”. (O link era clicável na mensagem; colocamos os colchetes por motivos de segurança.) Eu não tenho cartão de crédito Itaucard, então sabia que se tratava de um golpe.

No entanto, este é um dos golpes mais bem-feitos que já vi. A começar pela URL: ela não usa hífens (como itaucard-digital[.]com) nem sequências estranhas de caracteres (como itaucard.swhzjgswb[.]com) — sinais comuns de uma URL enganosa.

Além disso, o site usa HTTPS. Ele tem um certificado SSL do Let’s Encrypt, que pode ser adquirido gratuitamente caso você comprove que detém controle sobre um domínio da web. Há suporte ao protocolo TLS 1.2 e à criptografia AES de 256 bits.

Você encontrará o cadeado fechado na barra de endereços; Chrome, Firefox e Microsoft Edge avisam que “a conexão é segura”. Isso é verdade: os dados que você inserir na página serão transmitidos com criptografia até o servidor — a conexão estará protegida, mas o site não é seguro.

Isso é mais comum do que parece: segundo a consultoria de segurança PhishLabs, 49% dos sites de phishing usavam HTTPS no terceiro trimestre de 2018.

Site de phishing confere se número de cartão é válido

Tem mais: o site verifica se você digitou um número válido de cartão de crédito; caso contrário, ele emite uma mensagem de erro. Muitas campanhas de phishing não se preocupam com esse detalhe e aceitam qualquer sequência de dígitos.

Funciona assim: cartões de crédito, débito e fidelidade possuem 16 números. O último deles é um dígito verificador, gerado através do algoritmo de Luhn, para garantir que o cartão é válido. A página tem código JavaScript especificamente para calcular esse dígito verificador e conferir se ele está correto.

O mesmo vale para o CPF: existe código JavaScript para conferir se os dígitos verificadores estão certos. Além disso, a página usa a fonte Roboto, padrão do Android.

Após inserir o número de cartão e senha, o site pedirá o código de segurança, data de validade e seu CPF. Feito isso, você recebe a mensagem: “Parabéns! Sua inscrição foi realizada com sucesso. Será enviado um SMS confirmando sua inscrição”. Por fim, você é redirecionado para o site oficial do Itaú.

Vale notar que, com um pouco de experiência em desenvolvimento web, não seria tão difícil criar um site de phishing como este. É fácil encontrar na internet o algoritmo de Luhn e o validador de CPF em JavaScript; além disso, obter um certificado HTTPS é gratuito e fácil de implementar graças ao Let’s Encrypt. A parte mais difícil talvez seja conseguir uma URL que parece legítima.

Site de phishing tem domínio registrado fora do Brasil

O domínio itaucard[.]digital foi registrado em 7 de janeiro de 2019 através do Subreg.CZ, um registrador da República Checa. Os dados do responsável estão ocultos; seu nome, endereço físico, e-mail e telefone trazem o aviso “REDACTED FOR PRIVACY”.

Há um endereço de e-mail para denunciar abusos. Entramos em contato com o Subreg.CZ, e inicialmente tivemos a seguinte resposta: “sua mensagem foi considerada suspeita e foi encerrada”. Havia também um link de autenticação para continuar o processo. Clicamos nele e recebemos o seguinte: “vamos investigar esse problema de abuso com o cliente que gerencia o domínio”.

A página foi denunciada na semana passada ao Itaú através do Twitter; no entanto, ela permanece no ar.

O Tecnoblog entrou em contato com o Itaú, que está investigando o caso.

Golpe sofisticado de phishing tenta roubar número e senha de cartão de crédito do Itaú

via Tecnoblog

Publicado por Carlos Trentini

Eu, eu mesmo e eu, agora e nas horas vagas...

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *