No Brasil, o mais comum é o uso de páginas falsas para phishing bancário

Ataque homográfico, o nome não é conhecido mas certamente você já viu. Geralmente, acontece quando o usuário clica em um link enviado por e-mail ou mensagens no celular — que na verdade são tentativas de phishing, cuja URL é uma farsa, que você vai ver adiante. O visual da página e o endereço parecem bastante convincentes, incluindo o procolo https, usado para encriptar a troca de dados entre usuário e site, sinalizado por um cadeado verde, muito comum em páginas de bancos e lojas online na Web.

Todas as dicas sobre segurança digital

Mas, não engane. Mesmo checando esses detalhes você ainda pode cair em um golpe de phishing sofisticado e difiícil de detectar. Durante o Foro ESET de Seguridad Informática de 2017, que aconteceu entre os dias 14 e 15 em San Jose, na Costa Rica, o processo foi demonstrado por Miguel Mendoza, especialista em segurança da ESET para o México. Para a vítima, tudo começa em um link enviado por e-mail ou WhatsApp e termina em um site falso, muito parecido com o original, cuja razão de existência é uma só: convencer o usuário a fazer login. Quem cai no golpe e fornece seus dados, acaba sofrendo com fraudes.

Para dar certo, os atacantes criam um site muito parecido com o original e compram domínios até em outros idiomas, para usar o chamado alfabeto cirílico.

Miguel Mendoza, da ESET, mostra A cirílico (U+0430) e o A ASCII (U+0041) (Foto: Melissa Cruz Cossetti / TechTudo) 
 

“Esse golpe utiliza também caractere cirílico. Engana a vítima com uma URL que parece real. Para descobrir é preciso verificar o certificado”, explica Mendoza.

Engana a vítima com uma URL que parece real. Para descobrir é preciso verificar o certificado

O navegador de Internet, que é enganado nesse processo, exibe um endereço que parece ser visualmente real, mas, na verdade é um domínio criado com o azbuka — um alfabeto cujas variantes são utilizadas para a grafia de seis línguas nacionais eslavas e outras línguas extintas. Por exemplo: em vez de mostrar nomedosite.com, mostra um parecido. O site falso aparece no certificado SSL/TLS.

Há casos mais simples em que registram um domínio o mais similar possível como “twiitter.com” — com dois “i” — em vez de “twitter.com” ou, como acontece com um famoso site de e-commerce, o uso da URL “rnercadolibre.com” em vez de “mercadolibre.com” original. Repare que na URL falsa do site que opera em toda a America Latina, a palavra mercado é forjada com R e N, em letras minúsculas.

Versão falsa do site MercadoLivre com letras trocadas (Foto: Reprodução/ESET) 

Cassius Puodzius, analista de malware da ESET para o Brasil, explica que, por aqui, o mais comum é o uso de páginas falsas para phishing bancário. Com cada vez mais contas correntes e com a preferência do brasileiro por serviços digitais, é natural. Segundo a Pesquisa FEBRABAN de Tecnologia Bancária 2017 (com ano base de 2016), mesmo com retração da economia, a taxa de bancarização atingiu o recorde de 90,4%. “Onde está o dinheiro, o cibercrime vai atrás. Se aumenta o volume de contas, cresce também o total de transações financeiras online”, disse.

Como o usuário é enganado?

Você já deve ter visto experiências em que, mesmo lendo palavras incompletas ou levemente editadas com erros quase imperceptíveis, os leitores compreendem o seu significado rapidamente como se estivessem completas e bem escritas. O mesmo acontece com URLs falsas na Internet. À primeira vista, com uma leitura rápida, esses exemplos enganam. A melhor dica é evitar acessar links de lojas e bancos por e-mail ou mensagem e digitar no navegador a versão oficial desse site.

Como o navegador é enganado?

Um exemplo que circulou bastante foi o divulgado junto com a descoberta da falha no início do ano pelo pesquisador chinês Xudong Zheng. O especialista registrou o domínio https://www.xn--80ak6aa92e.com que, na época, ao ser acessado via Mozilla Firefox, mostrava o que parecia ser um domínio original https://www.apple.com — uma farsa. A motivação era roubar contas do iCloud.

“Este site, obviamente, não está afiliado à Apple, é uma demonstração de uma falha na forma como os domínios unicode são manipulados nos navegadores. É muito possível que seu navegador não seja afetado”, diz o recado no endereço.

Site falso no Opera e no Firefox; no browser da Mozilla ainda há com o que se preocupar (Foto: Melissa Cruz Cossetti / TechTudo) 

O prefixo xn-- diz aos navegadores que o domínio usa uma codificação compatível com protocolo de programação conhecido como Punycode, que torna possível registrar domínios com caracteres especiais de alfabetos não tradicionais, além dos de A a Z, em um idioma local, ou como o dono do registro preferir usar.

A solução para quem usa Firefox

O Google anunciou a correção do problema no Google Chrome e o Opera corrigiu, mas o erro ainda permanece no Mozilla Firefox. “Decidiram que é um problema para os registradores de domínio tratarem”, apontou Zheng. Os navegadores Microsoft Edge, Internet Explorer e Safari não possuem a falha.

Como o TechTudo já explicou no passado, usuários do Firefox devem se preocupar e usar alguns ajustes na configuração da barra de endereços para alterar o atributo network.IDN_show_punycode para “true”. Isso permite que o Firefox mostre domínios internacionais, tornando mais fácil detectar o golpe.

O processo é simples no Mozilla Firefox:

Passo 1. digite na barra de endereços o termo “about:config” sem aspas;

Observação: talvez o Firefox avise que as alterações podem ser arriscadas.
Para continuar, basta “aceitar o risco” e não mudar nada além do proposto.

Passo 2. Pesquise por “Punycode” sem aspas;

Passo 3. Um duplo clique vai mudar o parâmetro network.IDN_show_punycode;

Fazendo isso uma vez, passa para “true”; mantenha desta forma para se proteger.

Evite fazer login via link recebidos por redes sociais, e-mail e mensageiros.

Usuários do Firefox no mundo

Segundo o StatCounter, que atualiza em tempo real estatística de uso de softwares como os navegadores de Internet, o Firefox (13%) é o segundo browser mais usado do mundo em desktops, perdendo “de lavada” para o Chrome (63%). Levando em conta os acessos gerais, que incluem navegadores móveis para celulares, o percentual do Chrome cai um pouco (54%) diante de outro browser mobile como Safari (14%) e UC Browser (7%). O Firefox despenca (6%), em quarto.

A Mozilla ainda tem muitos usuários e lançou recentemente uma nova versão do Firefox Quantum, duas vezes mais rápido, na expectativa de retomar usuários.

Tech Tudo

DELEGADOS.com.br
Portal Nacional dos Delegados & Revista da Defesa Social