Início » Antivírus e Segurança » Golpe sofisticado de phishing tenta roubar número e senha de cartão de crédito do Itaú

Golpe sofisticado de phishing tenta roubar número e senha de cartão de crédito do Itaú

Página de phishing usa domínio com "Itaucard" para obter números de cartão de crédito, código de segurança, senha e CPF

Felipe Ventura Por

Um site de phishing está usando um domínio aparentemente legítimo para roubar números de cartão de crédito Itaucard, data de validade, código de segurança, senha e CPF. O endereço tem HTTPS e não parece suspeito, mas foi registrado fora do Brasil. Além disso, a página verifica se o número do cartão e do CPF são válidos. O Itaú já solicitou a remoção, mas ela permanece no ar.

Foto por Steve Buissinne/Pixabay

Eu recebi um SMS nesta segunda-feira (11) à noite dizendo: “tentativa de uso do seu ITAUCARD, verifique seu extrato em itaucard[.]digital”. (O link era clicável na mensagem; colocamos os colchetes por motivos de segurança.) Eu não tenho cartão de crédito Itaucard, então sabia que se tratava de um golpe.

No entanto, este é um dos golpes mais bem-feitos que já vi. A começar pela URL: ela não usa hífens (como itaucard-digital[.]com) nem sequências estranhas de caracteres (como itaucard.swhzjgswb[.]com) — sinais comuns de uma URL enganosa.

Além disso, o site usa HTTPS. Ele tem um certificado SSL do Let’s Encrypt, que pode ser adquirido gratuitamente caso você comprove que detém controle sobre um domínio da web. Há suporte ao protocolo TLS 1.2 e à criptografia AES de 256 bits.

Você encontrará o cadeado fechado na barra de endereços; Chrome, Firefox e Microsoft Edge avisam que “a conexão é segura”. Isso é verdade: os dados que você inserir na página serão transmitidos com criptografia até o servidor — a conexão estará protegida, mas o site não é seguro.

Isso é mais comum do que parece: segundo a consultoria de segurança PhishLabs, 49% dos sites de phishing usavam HTTPS no terceiro trimestre de 2018.

Site de phishing confere se número de cartão é válido

Tem mais: o site verifica se você digitou um número válido de cartão de crédito; caso contrário, ele emite uma mensagem de erro. Muitas campanhas de phishing não se preocupam com esse detalhe e aceitam qualquer sequência de dígitos.

Funciona assim: cartões de crédito, débito e fidelidade possuem 16 números. O último deles é um dígito verificador, gerado através do algoritmo de Luhn, para garantir que o cartão é válido. A página tem código JavaScript especificamente para calcular esse dígito verificador e conferir se ele está correto.

O mesmo vale para o CPF: existe código JavaScript para conferir se os dígitos verificadores estão certos. Além disso, a página usa a fonte Roboto, padrão do Android.

Após inserir o número de cartão e senha, o site pedirá o código de segurança, data de validade e seu CPF. Feito isso, você recebe a mensagem: “Parabéns! Sua inscrição foi realizada com sucesso. Será enviado um SMS confirmando sua inscrição”. Por fim, você é redirecionado para o site oficial do Itaú.

Vale notar que, com um pouco de experiência em desenvolvimento web, não seria tão difícil criar um site de phishing como este. É fácil encontrar na internet o algoritmo de Luhn e o validador de CPF em JavaScript; além disso, obter um certificado HTTPS é gratuito e fácil de implementar graças ao Let’s Encrypt. A parte mais difícil talvez seja conseguir uma URL que parece legítima.

Site de phishing tem domínio registrado fora do Brasil

O domínio itaucard[.]digital foi registrado em 7 de janeiro de 2019 através do Subreg.CZ, um registrador da República Checa. Os dados do responsável estão ocultos; seu nome, endereço físico, e-mail e telefone trazem o aviso “REDACTED FOR PRIVACY”.

Há um endereço de e-mail para denunciar abusos. Entramos em contato com o Subreg.CZ, e inicialmente tivemos a seguinte resposta: “sua mensagem foi considerada suspeita e foi encerrada”. Havia também um link de autenticação para continuar o processo. Clicamos nele e recebemos o seguinte: “vamos investigar esse problema de abuso com o cliente que gerencia o domínio”.

Itaú solicitou remoção de página falsa

A página foi denunciada na semana passada ao Itaú através do Twitter; no entanto, ela permanece no ar.

O Tecnoblog entrou em contato com o Itaú, que solicitou a remoção da página falsa ao registrador de domínio. A empresa diz: “não mediremos esforços para que o site seja retirado do ar”. Ela também possui sistemas que detectam links maliciosos falsamente atribuídos ao banco.

Este é o posicionamento que recebemos:

Desde que detectou o caso, em mais de uma ocasião o Itaú Unibanco solicitou ao provedor (que mantém o site no ar) e ao registrante (o dono do domínio) que removessem a página falsa. Estamos acompanhando de perto esse processo e não mediremos esforços para que o site seja retirado do ar.

A instituição utiliza sistemas de segurança dedicados a detectar e remover páginas e links maliciosos falsamente atribuídos ao Itaú Unibanco. Qualquer cliente que perceber canais, e-mails e outras mensagens suspeitas pode reportá-los via e-mail ao nosso canal para tratamento de phising: [email protected]

O Itaú Unibanco reitera que não aciona seus clientes para solicitar dados para confirmação de cartões, recadastramento de token ou informações pessoais.

Atualizado às 18h19 com posicionamento do Itaú.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Stanbys

Recebi hoje o mesmo tipo de fraude, mas chegou do banco """Sicredi""", com URL com HTTPS e tudo mais, o meu antivirus Kaspersky pra smartphone já me notificou na mesma hora sobre a tentativa de phishing..

Deealt Noubeza ( ͡° ͜ʖ ͡°)

eu vou na agência mesmo, adoro perturbar o gerente quando o sistema deles me ferra, reciporocidade e tal...

nice guy
Will

eu não manjo nada dessas coisas, mas esse golpe é um dos mais elaborados que já vi, rs

Keaton

Tecnicamente falando... cadeado verde quer dizer que o dominio tem um certificado SSL válido para aquele dominio.... e não que é o dominio original.

(mas legal é que agora tem certificado gratuito sendo distribuido pela LetsEncrypt... hahaha)

Keaton

Habilidade de copy/paste?

Eu tava olhando o código dele... o verificador de CPF eu já tinha visto quando estudei javascript... já o verificador do cc eu acabei encontrando agora a pouco como exemplo...

Keaton

Tenta esse pra código Luhn: https://www.dcode.fr/luhn-a...

Procura em Number with Missing Digits e digita 12 numeros aleatórios e **** ex: 1234 5678 9012 *****... vai gerar uma lista enorme de códigos válidos. hahahaha

Keaton

Hahahaha... eles lembraram de bloquear os cpf que o código autentica mas não é valido...

if(cpf.length != 11 || cpf == "00000000000" || cpf == "11111111111" ||
cpf == "22222222222" || cpf == "33333333333" || cpf == "44444444444" ||
cpf == "55555555555" || cpf == "66666666666" || cpf == "77777777777" ||
cpf == "88888888888" || cpf == "99999999999"){
return false;
}

Dalton Martins

Não imagino muitos gols nesta partida do Corinthians contra o Racing. Eu apostaria em "Abaixo de 2,5 gols". Neste tipo de aposta, você ganha se o jogo tiver no máximo 2 gols (0x0, 1x0, 1x1). Quem tiver interesse em apostas esportivas, clique na foto do meu perfil e saiba como iniciar suas apostas com 30 Reais grátis.

Arthur Soares

Iss indevido do cartão, coloque o número e a senha pra verificar.

Danilo F. Sousa

Não custa nada usar o APP do banco...

Sim, nos fazemos isso , mas tem que espalhar isso pro pessoal mais velho...

Mauricio Bonini

Li todos comentários e boa parte tem razão, se pedir senha pode desconfiar. Mas basta ter erro de português, como na página fraudulenta, que dá para imaginar que é falsa.

Mauricio Bonini

Gostei das dicas. Utilizo esse antivírus há anos. Pena na que ainda tenho mais de 400 dias até vencer minha assinatura, senão ia renovar.

gabriel bk

https://m-pt.gearbest.com/m... Ganhar dineiro do do dia por compartilhar from Gearbest

Exibir mais comentários