Anatomia de mais uma fraude: Santander

Veja a mensagem de e-mail spam que tenta “pescar” usuários otários para a fraude de formulário, caso ele clique no link contido na mensagem.

Indícios típicos de fraude: Além dos mesmos indícios que apontei no artigo de ontem — impessoalidade (não cita o nome do cliente), tema suspeito (atualização ou recadastramento de segurança feito pela internet), link destino suspeito (não aponta para o site principal do banco) — vou comentar uma prática de segurança que tem sido adodata pelos bancos. Como um link em uma mesagem de spam — como este — tem sido o gatilho mais comum para levar a fraudes, os bancos que enviam e-mails legítimos ao cliente tem evitado incluir links na mensagem. Às vezes informam o endereço que deve ser acessado, mas instruem o próprio usuário a digitar o endereço no navegador. Eliminam a praticidade do link em prol da segurança.

O endereço contido no link fraudulento da mensagem de e-mail — clcmaquinaria.es — não tem absolutamente nada a ver com a instituição bancária usada como tema da fraude. Este endereço apenas leva a um redirecionamento para outro endereço, onde a fraude está efetivamente hospedada.


Nota técnica: Eis o trecho de resposta HTTP de redirecionamento (código 302) para o endereço onde a fraude está hospedada.

GET /datos/folletos/Atualizacao-Unificacao.php?ID=6235 HTTP/1.1
Host: www.clcmaquinaria.es

HTTP/1.1 302 OK
Location: http://www.aparecida.go.gov.br/site/Uploads/Galeria/595/InternetBanking/
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/4.4.7, PleskWin, ASP.NET

Observe o endereço: Para hospedar a fraude, invadiram o portal da Prefeitura Municipal de Aparecida, em Goiás — www.aparecida.go.gov.br.

Dados confidenciais solicitados na primeira tela: Agência, conta e senha de internet.

A fraude se dá ao luxo de validações em JavaScript, para evitar que o usuário forneça informações inválidas ou incorretas ao fraudador. Na primeira tela, verifica se a senha de internet e sua confirmação digitadas são iguais, conforme mensagem de erro a seguir.

Dados confidenciais solicitados na segunda página: CPF, RG (identidade), nome do pai, senha de Disk Real, assinatura eletrônica.

Novamente, a página inclui diversas validações dos dados fornecidos, conforme duas ilustrações a seguir.

Na última tela da fraude, solicita todos os códigos do cartão e o número de série deste.

Indício claro de fraude: Os bancos possuem o número de série de todos os códigos dos cartões de segurança enviados aos clientes. O banco sempre solicita apenas o código de uma posição por vez (em uma tela ou transação bancária), para confirmar que o cliente possui o cartão e conhece o código na posição solicitada. Se uma página solicitar todos os códigos do cartão de segurança assim, é fraude!

4 Replies to “Anatomia de mais uma fraude: Santander”

Deixe uma resposta