Atenção usuários do Twitter! Um phishing (envio de e-mail falso com link para site falso) está em curso na web capturando as credenciais de acesso ao Twitter. Os primeiros reports já identificaram centenas de contas comprometidas. Veja aqui maiores detalhes sobre este ataque e sobre o comportamento de phishing.

Sobre o Phishing do Twitter

O Phishing é enviado por e-mail com o texto “hey! check out this funny blog about you. A falsa mensagem redireciona o usuário para um site com endereço semelhante e que reproduz a página de autenticação do Twitter (reprodução perfeita). Porém, uma análise mais atenciosa revela que o endereço apresenta pontos que diferem da URL original.

Impacto

O site falso captura as credenciais (combinação de usuário e senha) que os usuários utilizam ao acessar o Twitter “original”. O Twitter recomenda, em seu site oficial, que os usuários vítimas deste phishing encerrem sua conta e abram uma nova refazendo o cadastro como um novo usuário.

Qual objetivo de um ataque desta natureza?

Um dos principais objetivos da combinação usuário e senha de sites de massa com o Twitter está por trás do simples fato de que os invasores podem disparar pequenas mensagens e referências a assuntos contendo códigos hostis e redirecionamento para outros sites no conteúdo das mensagens que são enviadas pelo sistema Twitter. É uma forma inteligente e muito eficaz de redirecionar usuários a sites que possuam códigos hostis embutidos para comprometer, por exemplo, o sistema operacional a partir de vulnerabilidades conhecidas.

No mês de dezembro de 2008, por exemplo, tivemos uma crítica vulnerabilidade comprometendo diversos sistemas operacionais Windows a partir do uso do Internet Explorer. Usuários que não protegeram ainda seu sistema operacional com a correção da Microsoft (patch), estariam ainda vulneráveis a um possível redirecionamento de tráfego pelo Twitter e acesso a site malicioso que poderia disparar o exploit para de fato comprometer o sistema operacional do usuário para que a máquina se transforme em membro de redes “zumbies” (máquina é utilizada para envio de spams) ou mesmo como membro de uma rede de ataques de DDOS - Distribuited Denial of Service (máquina é utilizada para integrar uma rede que efetua ataques tentando inviabilizar o acesso a um determinado site web no mesmo período).

Spam, Hoax, Phishing.. o que são e como se proteger?

O spam — envio de mensagens de email indesejadas — é uma praga do nosso tempo. Seus derivados mais nocivos são os hoaxes e o phishing. O hoax é apenas uma mensagem falsa, que, dependendo de sua natureza, pode ajudar a entupir caixas postais — como aquelas correntes, historinhas edificantes, lendas urbanas e rumores que tentam induzir o usuário a passar adiante o email para o maior número possível de usuários. Mas os hoaxes podem representar um perigo maior quando se valem da chamada “engenharia social”. Há casos de pessoas que receberam propostas de trabalho do exterior com mensagens bem formatadas e configuradas, destinadas a não despertar suspeitas, com telefones de contato. Usuários responderam a tais mensagens, enviando toda a documentação pessoal e dados confidenciais para as supostas empresas contratantes. Elas começam, então, a pedir depósitos em dinheiro para providenciar o restante da documentação e vão interagindo com o profissional por email, até que, quando chega a hora de embarcar para fora do país, as mensagens cessam e não há mais qualquer contato. A pessoa perde dinheiro e seus dados ficam expostos.

O hoax, então, mais que ser só um email que incomoda, pode causar danos ao explorar a natureza humana, enganando o usuário. Já o phishing combina o hoax com a indução a um clique num link falso, que levará a um site igualmente falso onde o usuário a) poderá pegar um cavalo-de-tróia sem saber ou b) poderá enviar inadvertidamente dados confidenciais (como senhas) para hackers à espreita. Os exemplos são inúmeros: sites fake de bancos pedindo algum recadastramento de login e senha, URLs falsos da Receita Federal, Serasa, SPC, companhias aéreas, programas de televisão, empresas de telefonia, provedores, sites de cartões virtuais, ferramentas de busca e até mesmo páginas imitando as principais softwarehouses fabricantes de antivírus. Pede-se de tudo: CPF, identidade, número da conta no banco, senhas, e assim por diante. Notícias falsas também servem de isca: recentemente, um phishing anunciando o assassinato de um célebre político envolvido num escândalo nacional urgia o usuário a clicar num link para saber mais. Claro, o assassinato era mentira e o link escondia aquele cavalo-de-tróia no arquivo com terminação .SCR que já mencionamos.

Junto com o cavalo-de-tróia, o phishing é a ameaça que mais lesa os usuários hoje. Já não é tão simples para o hacker botar o cavalo-de-tróia junto com um programa a ser baixado, porque aos poucos as pessoas se conscientizam de que não se pode ficar baixando qualquer coisa (embora essa conscientização ainda seja um tanto incipiente). Por isso os vilões virtuais recorrerm ao phishing para espalhar seus códigos hostis. Afinal, o email dá maior audiência num curto espaço de tempo: ele pode ser mandado para milhares de pessoas ao mesmo tempo e, se desse total, umas 100 clicam no site falso (geralmente hospedado em algum país distante, com fraca fiscalização ciberespacial), já é lucro. Cem máquinas serão contaminadas e, a partir delas, outras centenas, numa espiral sem fim.

O ataque de Phishing

O phishing é sempre feito com muita criatividade, para pegar o usuário de surpresa. Há inclusive os pessoais, que usam nomes parecidos com os constantes da caixa postal do usuário para induzi-lo a abrir a mensagem e usam subjects como “eu te amo”, “que saudade”, “você está sendo traído”, “alguém te adora” e assim por diante. Além disso, através de programas-espiões, o hacker pode descobrir, por exemplo, a data de aniversário da pessoa e lhe enviar um email no dia, com um link para um cartão virtual falso, com um cavalo-de-tróia oculto.

O spam em si, além de entupir caixas postais e dificultar bastante o gerenciamento do email, é especialmente perigoso quando, além de pedir que se envie a mensagem para mais tantas pessoas, traz um anexo qualquer que induz o usuário a abrir. O anexo, em geral no formato .PPT (do programa de apresentações Power Point) traz (de novo!) um cavalo-de-tróia. Que vai infectar o computador do usuário e de quem mais decidir abrir o anexo. Aliás, abrir qualquer anexo desconhecido ou não-solicitado é SEMPRE um risco.

Tags: ataque, phishing, twitter

Esse post foi publicado de terça-feira, 6 de janeiro de 2009 às 3:17 pm, e arquivado em Códigos Hostis, Vulnerabilidades. Você pode acompanhar os comentários desse post através do feed RSS 2.0. Você pode comentar ou mandar um trackback do seu site pra cá.