HostNet -- nesse provedor eu confio.

O GLOBO - Informática Etc.
Carlos Alberto Teixeira

Globo Online, onde você fica sabendo das coisas.

Artigo: 614 / Publicação: 2005-02-28

ARMADILHA USANDO O NOME DO EBAY

Clique na ilustração para ampliá-la. Autor? CRUZ, é claro! Que pergunta.

Clique na ilustração para ampliá-la

A prática do phishing continua firme e forte, atormentando uns e ilicitamente enriquecendo outros. Como se sabe, phishing é quando um ladrão digital manda para você um email que parece ter sido enviado por uma instituição importante ou famosa e, dentro da mensagem, aparece um link aparentemente inofensivo. Você clica, cai numa página também com jeito de séria, informa alguns dados e acha que está tudo bem. No entanto, os dados que digitou serão devidamente chupados e provavelmente usados para o mal, seja para subtrair-lhe grana, roubar sua identidade ou para outros propósitos escusos. Emails de phishing (corruptela de "fishing", em inglês, pescaria) rolam soltos como se fossem enviados pelo Serasa, bancos variados, Receita Federal, loterias e outras empresas e órgãos governamentais.

Há poucos dias foi lançada a Phish Report Network (PRN), uma rede fundada por quatro empresas: Microsoft, eBay, WholeSecurity e Visa. A idéia é formar um grande banco de dados com descrições de golpes de phishing no mundo inteiro. Estima-se que 57 milhões de usuários já receberam pelo menos um email de phishing. Outra informação, ainda mais alarmante, segundo a PRN, é a de que mensalmente a quantidade de ataques de phishing cresce 38%.

A regra geral é "não clique em links dentro de uma mensagem de email, a menos que tenha certeza do que está fazendo". Fora isso, em geral, é até bem fácil identificar quando uma mensagem é phishing. Se a leitora usa o Outlook Express, por exemplo, tenha ligada sua barra de status (Exibir / Layout / Básico / Barra de Status). Passe o cursor do mouse em cima de cada link da mensagem e fique de olho no rodapé da janela do O.E. Vai aparecer na barra de status o endereço real para onde aponta o link. Endereços que terminem com ".exe", ".scr", ".com", ".pif" e outras extensões suspeitas indicam claramente que é armadilha. Outro bom indicador é quando o que vem logo depois do "http://" não tem aparentemente nada a ver com o suposto remetente da mensagem. Ou então, desconfie também quando, na barra de status, o endereço real for comprido demais e não couber no rodapé da tela, pois poderá ocultar uma terminação venenosa.

Bem, estas regrinhas funcionam em 99% dos casos. Acontece que recebi hoje, através do amigo Américo Oliveira, um phishing de doer, verdadeira obra prima, uma das melhores armadilhas que já encontrei na rede. E adivinha de onde parece ter vindo? Acredite: do eBay, o maior site de leilões online do planeta e um dos fundadores da PRN. Cutuquei o link e lá estava o site, aparentemente bonzinho da silva: http://cgi4.ebay.com etc e tal. Ergui toda as barreiras defensivas da máquina e entrei de cabeça no site para investigar, indo cair numa página que supostamente realizaria uma verificação na minha conta no eBay. Em tempo, não tenho conta lá. A página pedia identificação e senha. Digitei qualquer bobagem e ele aceitou, pois na verdade o que interessa aos ladrões é a página seguinte, onde o incauto terá que digitar informações particulares incluindo dados do cartão de crédito. E nessa, pronto, quem digitou certo "perdeu".

É claro que este phishing não é proveniente diretamente do eBay, mas sim, utiliza-se de uma falha grosseira de segurança deles, já avisada por diversos usuários. Até este instante em que escrevo a coluna, o eBay ainda não tinha tomado qualquer providência no sentido de sanar o problema. A falha é a seguinte: numa das páginas deles existe um redirecionador de URL, baseado numa tal "eBayISAPI.dll", que reside no próprio site oficial. O endereço do redirecionador começa com cgi4.ebay.com, seguido duma longa tripa de códigos. O idealizador deste phishing se aproveitou da brecha e construiu um link muito bem feito que desvia o usuário para a falsa página de abertura do eBay, iludindo-o e atraindo-o para a arapuca. A famigerada página fica no endereço IP 203.234.25.190, que pertence à Universidade Nacional de Seul, na Coréia. Já avisei o webmaster, o eBay e a PRN. Aliás, o eBay já está careca de saber deste e de outros ataques de phishing usando seu nome, tanto que oferece um ótimo tutorial (em inglês) ensinando como identificar armadilhas. Só que, por algum motivo, ainda não desativou o perigoso redirecionador. Ah sim, clientes do PayPal: existe uma falha semelhante no site deles, ok?


A leitora por favor não se zangue, mas preciso abrir os olhos dos marmanjos sobre a página AxeFeather. Para quem gosta de fazer cócegas, não há site melhor.


Os links de hoje estão em catalisando.com/infoetc/20050228.htm.

[ Voltar para índice 2005 ]

[ O Globo | Informática Etc. | coluna mais recente | enviar email
página pessoal C@T
| assinar lista InfoEtc | assinar GoldenList do C@T ]


powered by FreeFind