Início » Antivírus e Segurança » Golpe sofisticado de phishing tenta roubar número e senha de cartão de crédito do Itaú

Golpe sofisticado de phishing tenta roubar número e senha de cartão de crédito do Itaú

Página de phishing usa domínio com "Itaucard" para obter números de cartão de crédito, código de segurança, senha e CPF

Felipe Ventura Por

Um site de phishing está usando um domínio aparentemente legítimo para roubar números de cartão de crédito Itaucard, data de validade, código de segurança, senha e CPF. O endereço tem HTTPS e não parece suspeito, mas foi registrado fora do Brasil. Além disso, a página verifica se o número do cartão e do CPF são válidos. O Itaú já solicitou a remoção, mas ela permanece no ar.

Foto por Steve Buissinne/Pixabay

Eu recebi um SMS nesta segunda-feira (11) à noite dizendo: "tentativa de uso do seu ITAUCARD, verifique seu extrato em itaucard[.]digital". (O link era clicável na mensagem; colocamos os colchetes por motivos de segurança.) Eu não tenho cartão de crédito Itaucard, então sabia que se tratava de um golpe.

No entanto, este é um dos golpes mais bem-feitos que já vi. A começar pela URL: ela não usa hífens (como itaucard-digital[.]com) nem sequências estranhas de caracteres (como itaucard.swhzjgswb[.]com) — sinais comuns de uma URL enganosa.

Além disso, o site usa HTTPS. Ele tem um certificado SSL do Let's Encrypt, que pode ser adquirido gratuitamente caso você comprove que detém controle sobre um domínio da web. Há suporte ao protocolo TLS 1.2 e à criptografia AES de 256 bits.

Você encontrará o cadeado fechado na barra de endereços; Chrome, Firefox e Microsoft Edge avisam que "a conexão é segura". Isso é verdade: os dados que você inserir na página serão transmitidos com criptografia até o servidor — a conexão estará protegida, mas o site não é seguro.

Isso é mais comum do que parece: segundo a consultoria de segurança PhishLabs, 49% dos sites de phishing usavam HTTPS no terceiro trimestre de 2018.

Site de phishing confere se número de cartão é válido

Tem mais: o site verifica se você digitou um número válido de cartão de crédito; caso contrário, ele emite uma mensagem de erro. Muitas campanhas de phishing não se preocupam com esse detalhe e aceitam qualquer sequência de dígitos.

Funciona assim: cartões de crédito, débito e fidelidade possuem 16 números. O último deles é um dígito verificador, gerado através do algoritmo de Luhn, para garantir que o cartão é válido. A página tem código JavaScript especificamente para calcular esse dígito verificador e conferir se ele está correto.

O mesmo vale para o CPF: existe código JavaScript para conferir se os dígitos verificadores estão certos. Além disso, a página usa a fonte Roboto, padrão do Android.

Após inserir o número de cartão e senha, o site pedirá o código de segurança, data de validade e seu CPF. Feito isso, você recebe a mensagem: "Parabéns! Sua inscrição foi realizada com sucesso. Será enviado um SMS confirmando sua inscrição". Por fim, você é redirecionado para o site oficial do Itaú.

Vale notar que, com um pouco de experiência em desenvolvimento web, não seria tão difícil criar um site de phishing como este. É fácil encontrar na internet o algoritmo de Luhn e o validador de CPF em JavaScript; além disso, obter um certificado HTTPS é gratuito e fácil de implementar graças ao Let's Encrypt. A parte mais difícil talvez seja conseguir uma URL que parece legítima.

Site de phishing tem domínio registrado fora do Brasil

O domínio itaucard[.]digital foi registrado em 7 de janeiro de 2019 através do Subreg.CZ, um registrador da República Checa. Os dados do responsável estão ocultos; seu nome, endereço físico, e-mail e telefone trazem o aviso "REDACTED FOR PRIVACY".

Há um endereço de e-mail para denunciar abusos. Entramos em contato com o Subreg.CZ, e inicialmente tivemos a seguinte resposta: "sua mensagem foi considerada suspeita e foi encerrada". Havia também um link de autenticação para continuar o processo. Clicamos nele e recebemos o seguinte: "vamos investigar esse problema de abuso com o cliente que gerencia o domínio".

Itaú solicitou remoção de página falsa

A página foi denunciada na semana passada ao Itaú através do Twitter; no entanto, ela permanece no ar.

O Tecnoblog entrou em contato com o Itaú, que solicitou a remoção da página falsa ao registrador de domínio. A empresa diz: "não mediremos esforços para que o site seja retirado do ar". Ela também possui sistemas que detectam links maliciosos falsamente atribuídos ao banco.

Este é o posicionamento que recebemos:

Desde que detectou o caso, em mais de uma ocasião o Itaú Unibanco solicitou ao provedor (que mantém o site no ar) e ao registrante (o dono do domínio) que removessem a página falsa. Estamos acompanhando de perto esse processo e não mediremos esforços para que o site seja retirado do ar.

A instituição utiliza sistemas de segurança dedicados a detectar e remover páginas e links maliciosos falsamente atribuídos ao Itaú Unibanco. Qualquer cliente que perceber canais, e-mails e outras mensagens suspeitas pode reportá-los via e-mail ao nosso canal para tratamento de phising: [email protected]

O Itaú Unibanco reitera que não aciona seus clientes para solicitar dados para confirmação de cartões, recadastramento de token ou informações pessoais.

Atualizado às 18h19 com posicionamento do Itaú.

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Stanbys
Recebi hoje o mesmo tipo de fraude, mas chegou do banco """Sicredi""", com URL com HTTPS e tudo mais, o meu antivirus Kaspersky pra smartphone já me notificou na mesma hora sobre a tentativa de phishing..
Deealt Noubeza ( ͡° ͜ʖ ͡°)
eu vou na agência mesmo, adoro perturbar o gerente quando o sistema deles me ferra, reciporocidade e tal...
nice guy
https://www.youtube.com/wat...
Will
eu não manjo nada dessas coisas, mas esse golpe é um dos mais elaborados que já vi, rs
Keaton
Tecnicamente falando... cadeado verde quer dizer que o dominio tem um certificado SSL válido para aquele dominio.... e não que é o dominio original.(mas legal é que agora tem certificado gratuito sendo distribuido pela LetsEncrypt... hahaha)
Keaton
Habilidade de copy/paste?Eu tava olhando o código dele... o verificador de CPF eu já tinha visto quando estudei javascript... já o verificador do cc eu acabei encontrando agora a pouco como exemplo...
Keaton
Tenta esse pra código Luhn: https://www.dcode.fr/luhn-a...Procura em Number with Missing Digits e digita 12 numeros aleatórios e **** ex: 1234 5678 9012 *****... vai gerar uma lista enorme de códigos válidos. hahahaha
Keaton
Hahahaha... eles lembraram de bloquear os cpf que o código autentica mas não é valido...if(cpf.length != 11 || cpf == "00000000000" || cpf == "11111111111" ||cpf == "22222222222" || cpf == "33333333333" || cpf == "44444444444" ||cpf == "55555555555" || cpf == "66666666666" || cpf == "77777777777" ||cpf == "88888888888" || cpf == "99999999999"){return false;}
Dalton Martins
Não imagino muitos gols nesta partida do Corinthians contra o Racing. Eu apostaria em "Abaixo de 2,5 gols". Neste tipo de aposta, você ganha se o jogo tiver no máximo 2 gols (0x0, 1x0, 1x1). Quem tiver interesse em apostas esportivas, clique na foto do meu perfil e saiba como iniciar suas apostas com 30 Reais grátis.
Arthur Soares
Iss indevido do cartão, coloque o número e a senha pra verificar.
Danilo F. Sousa
Não custa nada usar o APP do banco...
Sim, nos fazemos isso , mas tem que espalhar isso pro pessoal mais velho...
Mauricio Bonini
Li todos comentários e boa parte tem razão, se pedir senha pode desconfiar. Mas basta ter erro de português, como na página fraudulenta, que dá para imaginar que é falsa.
Mauricio Bonini
Gostei das dicas. Utilizo esse antivírus há anos. Pena na que ainda tenho mais de 400 dias até vencer minha assinatura, senão ia renovar.
gabriel bk
https://m-pt.gearbest.com/m... Ganhar dineiro do do dia por compartilhar from Gearbest
Capitão Caverna
Parece que temos um gafanhoto aqui.Me poupou vários minutos de pesquisa.Obrigado.
avinicius
O Firefox bloqueou, mas o Chrome não. https://uploads.disquscdn.c...
Caleb Enyawbruce
Pede até a senha??? Aí forçou a amizade. Pessoal que tá deslumbrado com a descoberta da Internet chega treme a mão...
Caleb Enyawbruce
Que delícia
Renan Alves
alguém tem que fazer a economia movimentar, imagina o quanto de dinheiro existe parado nas contas.
DanielBastos
Hahahah.ajudarei nessa nobre causa.
johndoe1981
Realmente o cadeado apenas informa que o tráfego em si entre o cliente e o servidor é seguro, mas nada revela sobre a autenticidade do site. O difícil é ensinar as pessoas mais leigas em internet a como reconhecer sites suspeitos. Nesse caso, o banco deveria informar aos seus clientes de que ele não solicita certos dados como nº do cartão ou do CPF para acessar o internet banking.Em geral, qualquer site que solicite dados do cartão que não seja para o pagamento de mercadorias já é 99% de chance de ser fraudulento. Parece óbvio para nós, mas muitos desavisados caem nesse golpe.
Andrade
Em relação a essa parte do texto: "A parte mais difícil talvez seja conseguir uma URL que parece legítima."Eu indicaria dar uma pesquisada sobre IDN HOMOGRAPH ATTACK.Segue o link: https://www.youtube.com/wat...
Trovalds
Na dúvida vá de Kaspersky Total Security pelo valor. 5 dispositivos, 1 ano, R$ 118, 93. Use o cupom savings60united no carrinho, no campo "código promocional", o valor cai pra R$ 67,96.https://www.kaspersky.com.b...Antes de colocar no carrinho, desligue a renovação automática. O preço da renovação acaba sempre sendo mais caro que comprar a licença como se fosse a primeira vez. Mesmo se você comprar como se fosse primeira vez, a chave ativa o produto normalmente.E uma última dica: se tiver usando o KTS pela primeira vez, deixe pra colocar a licença quando vencer os 30 dias de teste. Se colocar antes os 30 dias se perdem.
Fabio costa
Já recebi um sms do itau unibanco mas desconfiei quando eles pediram pra eu desbloquear um novo cartão hipercard, meu cartão é o itaucard, deletei a mensagem, só acesso os serviços de meu cartão via app, não uso endereços da web, tudo é pelo app que baixei direto do play store.
F4BR1C10
Em breve não poderemos clicar nem nos bookmarks do navegador.Mas é melhor não dar ideia...
Capitão Caverna
Inclusive o kaspersky tava com 50% de desconto.Eu to em duvida entre ele e o panda.
felipecn
Essa mesma URL já foi usada em vários golpes no Instagram, em anúncios de "Vantagens Itaucard, registre seu cartão pra ofertas" e coisas parecidas.Tá no ar faz algum tempo, capaz de já ter mais de mês. Mesmo reportando pro Facebook, nada acontece.
rogerio brito
Por isso que até agora nenhum site vinculado ao itau funciona, tudo fora do ar. Vou ter que ir no banco depois de 3 anos
HIMEM.SYS
HAHAHHAAHAHAH... Antes de ver seu post, ja havia ocorrido a mesma ideia... Inundei o BD deles com porcarias...
Krosna Terrestre
não achei o site tão bem elaborado assim. Mas a escolha do domínio foi fatal
John Smith
Só de pedir a senha na cara dura qualquer um já deveria sacar que é falso.
John Smith
*Golpe sofisticado**Digite todos seus dados e senha*O nível de sofisticação de um golpe sempre é proporcional à inteligência de seu público.EDIT: A propósito, ponto pro Kaspersky:Não foi possível recuperar o URL solicitadoBloqueado pelo Antivírus da WebMotivo: ameaça de perda de dadosMétodo de detecção: bancos de dados
Souza
Tem um que está vindo para o email, mas no meu caso cai na caixa de spam.Pede número do banco Itau e número da conta do cliente e daí por diante mais dados.Dei uma olhara no fonte do site e é muito bem simples. No entanto, simples ou não, pega muita gente desprevenida.
raphaela1
Lets Encrypt é extremamente fácil de ser incluido
Sergio Garcia
Justamente por isso o Chrome não mostra mais o cadeado verde, apenas em caso de certificados EV (Validação Extendida) é mostrado o nome da empresa.Todos os bancos usam EV, ensinar os usuários a verificar isso deveria ser algo no minimo de bom sendo e preocupação por parte do banco.
Sergio Garcia
Pior que o banco nessas horas tenta lavar as mãos pro prejuízo do cliente, sendo responsabilidade deles verificar isso.Todos os certificados emitidos pelo Let's Encrypt são disponibilizados em um relatório de transparência, culpar de alguma forma o certificado gratuito é um erro.Site com https://keychest.net/ permitem verificar esses logs, é de responsabilidade do banco monitorar o surgimento de clones que possam comprometer seus clientes.A maioria desses golpes é feito por gente com conhecimento mediano, o dia que um cara realmente experiente fazer um golpe desses esses banco vão ter dor de cabeça.
Marcelo
A dica é simples...Qualquer notificação que recebo do nada que precise confirmar algo....desconsidero e entro diretamente no serviço, seja app ou site... e vejo por láLigação é a mesma coisa...se me ligam e pedem pra confirmar algum dado, eu deligo e ligo diretamente na central do qual eu já tenha o número...
lobisomem
Bora sujar o banco de dados dele: https://www.4devs.com.br/Gerador de cartão de crédito com n° valido e gerador de CPF.
Trovalds
Falta de cultura de internet dá nisso. Nunca que eu cairia numa dessas porque sei que alguns dados o banco simplesmente não pede, como CPF e código de segurança.
Franco Luiz
So em ve o HTTPS nego ja acha seguro e ta longe de ser assim
Gabriel Gonçalves
Estava cogitando ser alguém não-BR pelo texto ser, aparentemente, traduzido. Mas a programação da página foi feita com elementos em português, como "soma" e "resto". Impossível mesmo não ser BR (:
Jairo ☠️
Realmente .....é fácil cair em uma destas , imagina estes fds usam está artimanha em sites de compras como Amazon ou outra em época de compras como Black Friday ou outras , o prejuízo seria imenso .
Will
pior que muita gente acha isso
Will
golpe bem elaborado.só falta o cara usar essa habilidade pro bem, rs.
MarcoSilveira
Cadeado verde (HTTPS) não significa site autêntico. Bom saber