4 min de leitura ·

Hacking - Qual seria segredo desse caso de phishing e como reporta-lo?

Saudações prezados(as), como vai?

Esse é meu primeiro post aqui na comunidade, espero estar cumprindo todos os requisitos.

Venho compartilhar com os senhores e senhoras, um caso intrigante de phishing que encontrei.
Tenho o costume de fazer uma análise nas tentativas de phising que encontro e tento sempre atrapalhar a empreitada do atacante floodando com milhares de dados aleatórios e até mesmo orientando meus colegas para não caírem.

mas este caso me intrigou, não sou nenhum especialista na área, para alguns de vocês isso pode ser mamão com açúcar, mas neste caso fiquei sem recursos para seguir com a avaliação do ataque.

Vamos ao que interessa...
Recebo frequentemente essa tentativa de phising em que o e-mail contém um anexo e o seguinte texto:

Club de Pontos - ltaucard.
[email]@hotmail.com confira agora no arquivo em anexo e veja como é fácil resgatar seus pontos.
protocolo: 77815708136996964218

O PDF anexo não possui nada demais apenas uma foto com uma URL, como podemos ver abaixo:
Gancho

A URL mais recente que está funcionando é a seguinte:
!! A URL abaixo é de uma página que tenta imitar o aplicativo do Banco Itaú com objetivo de roubar dados de cartão de crédito !!
https: //app30lhoras22.z16.web .core.windows.net/

A URL acima faz alguns redirecionamentos, e ao chegar no destino final a aplicação se renderiza apenas em dispositivos móveis. E apresenta a seguinte interface:

Interface móveu da aplicação maliciosa

A URL final é a seguinte:
https: //w.ltaudesbloquear .com/index

Visualizando o código fonte no smartphone, temos códigos inofensivos (ou certamente mascarado), como podemos ver no bloco de código abaixo:

<!doctype html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1" />
<meta charset="utf-8" />
<meta name=referrer content="no-referrer">
<meta name=referrerpolicy content="no-referrer">
<meta name="viewport" content="width=device-width, initial-scale=1, user-scalable=no" />
<meta name="csrf-token" value="fOO2TUyXuYHewvw2CzeZviU0wMIsly8AchIUYd2u" />
<meta name="deviceBrand" id="deviceBrand" content="" />
<meta name="robots" content="noindex,nofollow" />
<meta name="googlebot" content="noindex,nofollow" />
<meta name="robots" content="noarchive" />
<meta name="turbo-visit-control" content="reload">
<title></title>
<link rel="stylesheet" href="//cdnjs.cloudflare.com/ajax/libs/reseter.css/2.0.0/reseter.min.css" />
<style>
    html{
        height: 100%;
    }
    html {
        font-family: "Helvetica Neue", Helvetica, Arial, sans-serif;
        font-size: 16px;
        line-height: 1.5;
        color: #545454;
    }
    .full-screen-preview {
        height: 100%;
        padding: 0px;
        margin: 0px;
        overflow: hidden;
    }
    body {
        background-color: black;
    }
    .full-screen-preview__frame {
        width: 100%;
        background-color: white;
        height: 100%;
    }
    iframe {
        border: 0;
    }
    div#app {
        height: 100%;
    }
    main {
        height: 100%;
    }
    </style>
</head>
<body itemscope itemtype="http://schema.org/WebPage" class="full-screen-preview">
<noscript>
        <div class="noscriptmsg" style="color: white; background-color: black;height: 100vh; text-align:center;padding: 100px 20px;line-height: 30px;">
            For full functionality of this site it is necessary to enable JavaScript.
            Here are the <a href="https://www.enable-javascript.com/">instructions how to enable JavaScript in your web browser</a>.
        </div>
    </noscript>
<div id="app">
<main id="mainContent" itemprop="mainContentOfPage" role="main">
<iframe class="full-screen-preview__frame" src="https://href.li/?https://www.zoom.com.br/notebook/deumzoom/como-criar-um-blog" name="preview-frame" frameborder="0" noresize="noresize" data-view="fullScreenPreview" allow="geolocation "self"; autoplay "self""></iframe>
</main>
</div>
<footer itemscope itemtype="http://schema.org/WPFooter" role="contentinfo"></footer>
<script src="https://www.google-analytics.com/analytics.js" async></script>
</body>
</html>

Como pode-se observar, não conseguimos ver formulários, requisições do tipo POST, e por consequencia, se quer ver o destino para onde os dados são enviados.

Outra artimanha interessante é a seguinte:
Ao tentar observar o comportamento da aplicação, inspecionar o código no computador, a página não renderiza. Apresentando o erro de código 403 - Não autorizado.
em alguns casos há uma mensagem de proteção da Cloudflare.
Tentei utilizar uma VPN, capturar o tráfego HTTP pelo celular, mas o serviço está protegido com HTTPs. Qualquer outra tentativa de visualizar o tráfego ou inspecionar código que eu tenha feito resultam na mesma resposta.

Tentei reportar o serviço malicioso para Cloundflare, mas disseram não haver motivos para bloquear o serviço por não ser nada suspeito.

Tenho feito buscar no Google, mas não encontro nada que possa orientar para uma forma de desvendar esse enigma.

Assim, colegas, fico intrigado como é possível fazer um ocultamento desse nível em um serviço web. Decido compartilhar na comunidade pois creio que este seja um estudo de caso interessante a documentarmos, discutirmos e apontar meios de impedir esse tipo de ataque.

Como fariam para verificar o código fonte e o destino dos dados do formulário?
Com a resposta acima, como reportariam o serviço para o provedor, deixando claro a atividade maliciosa da aplicação?

Agradeço e fico aberto a orientações.

Att.
Abeil

GabrielSozinho

2 anos atrás

Interessante que algumas vezes que eu entrei ele me redirecionou pra mesma página, mas com iframes diferentes.

Acessei pelo computador no modo design responsivo. Agora não consigo acessar mais, já limpei os cookies, fechei e abri o modo anônimo novamente e usei VPN, nada. E em nenhum momento eu consegui acessar essa página que você mostrou, dos cartões mesmo.

Se você conseguir acessar ela novamente, você pode tentar botar um número qualquer lá nos campos e ver a aba "rede" do developer tools? Lá talvez a gente consiga ver como eles recebem estes dados.

Além disso vi que eles usaram um link com href.li, é um site para mascarar links que você quer redirecionar.

abeil

Autor

2 anos atrás

Olá GabrielSozinho, obrigado pela contribuição.

É como eu disse, ela rendezia apenas em dispositivos móveis sem VPN. Qualquer tentativa que eu fiz de acessar ou inspecionar no computador ou no computador "disfarçado" de smartphone, resultou no mesmo resultado que você.

Abra a URL em um smartphone (abri aqui alguma vezes em dispositivos diferente, não vi nada perigoso, mas tenha cautela.), ai conseguirá visualizar o formulário da primeira imagem. Tendo a página carregada, colocando "view-source:" antes da URL resultou no HTML que disponibilizei na postagem.

Intrigante, não é?

GabrielSozinho

2 anos atrás

demais! até porque o design responsivo do navegador simula até os headers da requisição como se fosse um dispositivo móvel mesmo.

abeil

Autor

2 anos atrás

Olá GabrielSozinho,

Já fiquei pirado nisso um bom tempo, aí tive a ideia de postar aqui na comunidade. Vamos ver se conseguimos uma luz de como resolver esse quebra-cabeça.

Forte abraço.

lumcas

2 anos atrás

Eu sempre estou recomendando para meus familiares e amigos o melhor antivírus (que geralmente é o kaspersky ou avira), desde o primeiro momento que fiz a instalação dele, nunca mais tive problema de segurança ou de invasão. Lembro-me que uma vez ao entrar no Hotmail me deparei com e-mails enviados pela minha conta sem o meu consentimento, desde então, uso o Kaspersky ou Bitdefender e nunca mais passei por esse susto.

cristianoc7tm

2 anos atrás

Bom sería...

...se todos os navegadores tivessem um sistema de verificação (do tipo contas verificadas de rede social) para, pelo menos, sites de bancos registrados devidamente registrados. Com aviso nativo de cuidado, caso tenha qualquer menção de um banco no link do site.

tipo: itauseilaoque.com

Obs. estou falando de forma nativa, não por meio de extensões ou programas de antivírus, ou anti phishing.

Isso, para usuários mais leigos, seria de grande ajuda.

abeil

Autor

2 anos atrás

Olá cristianoc7tm, obrigado pela contribuição.

Seria ótimo mesmo. Como não há uma interação nesse sentido, é necessário estudar essas aplicações maliciosas para reporta-las para os provedores para que saírem do ar.

Nós que trabalhamos com tecnologia, conseguimos identificar e evitar cair nesse tipo de golpe. Fico imaginando tios, tias, nossos avós, até mesmo pais caindo nesse tipo de golpe.

Forte abraço.

rpsDev

2 anos atrás

Vi um recurso assim no Edge esses dias. No exemplo deles, digitando "ofice.com", é exibida uma mensagem "Você pode ter digitado incorretamente office.com". Mas não sei se o aprendizado de máquina por trás é eficiente.