Golpe sofisticado de phishing tenta roubar número e senha de cartão de crédito do Itaú
Página de phishing usa domínio com "Itaucard" para obter números de cartão de crédito, código de segurança, senha e CPF
Página de phishing usa domínio com "Itaucard" para obter números de cartão de crédito, código de segurança, senha e CPF
Um site de phishing está usando um domínio aparentemente legítimo para roubar números de cartão de crédito Itaucard, data de validade, código de segurança, senha e CPF. O endereço tem HTTPS e não parece suspeito, mas foi registrado fora do Brasil. Além disso, a página verifica se o número do cartão e do CPF são válidos. O Itaú já solicitou a remoção, mas ela permanece no ar.
Eu recebi um SMS nesta segunda-feira (11) à noite dizendo: “tentativa de uso do seu ITAUCARD, verifique seu extrato em itaucard[.]digital”. (O link era clicável na mensagem; colocamos os colchetes por motivos de segurança.) Eu não tenho cartão de crédito Itaucard, então sabia que se tratava de um golpe.
No entanto, este é um dos golpes mais bem-feitos que já vi. A começar pela URL: ela não usa hífens (como itaucard-digital[.]com) nem sequências estranhas de caracteres (como itaucard.swhzjgswb[.]com) — sinais comuns de uma URL enganosa.
Além disso, o site usa HTTPS. Ele tem um certificado SSL do Let’s Encrypt, que pode ser adquirido gratuitamente caso você comprove que detém controle sobre um domínio da web. Há suporte ao protocolo TLS 1.2 e à criptografia AES de 256 bits.
Você encontrará o cadeado fechado na barra de endereços; Chrome, Firefox e Microsoft Edge avisam que “a conexão é segura”. Isso é verdade: os dados que você inserir na página serão transmitidos com criptografia até o servidor — a conexão estará protegida, mas o site não é seguro.
Isso é mais comum do que parece: segundo a consultoria de segurança PhishLabs, 49% dos sites de phishing usavam HTTPS no terceiro trimestre de 2018.
Tem mais: o site verifica se você digitou um número válido de cartão de crédito; caso contrário, ele emite uma mensagem de erro. Muitas campanhas de phishing não se preocupam com esse detalhe e aceitam qualquer sequência de dígitos.
Funciona assim: cartões de crédito, débito e fidelidade possuem 16 números. O último deles é um dígito verificador, gerado através do algoritmo de Luhn, para garantir que o cartão é válido. A página tem código JavaScript especificamente para calcular esse dígito verificador e conferir se ele está correto.
O mesmo vale para o CPF: existe código JavaScript para conferir se os dígitos verificadores estão certos. Além disso, a página usa a fonte Roboto, padrão do Android.
Após inserir o número de cartão e senha, o site pedirá o código de segurança, data de validade e seu CPF. Feito isso, você recebe a mensagem: “Parabéns! Sua inscrição foi realizada com sucesso. Será enviado um SMS confirmando sua inscrição”. Por fim, você é redirecionado para o site oficial do Itaú.
Vale notar que, com um pouco de experiência em desenvolvimento web, não seria tão difícil criar um site de phishing como este. É fácil encontrar na internet o algoritmo de Luhn e o validador de CPF em JavaScript; além disso, obter um certificado HTTPS é gratuito e fácil de implementar graças ao Let’s Encrypt. A parte mais difícil talvez seja conseguir uma URL que parece legítima.
O domínio itaucard[.]digital foi registrado em 7 de janeiro de 2019 através do Subreg.CZ, um registrador da República Checa. Os dados do responsável estão ocultos; seu nome, endereço físico, e-mail e telefone trazem o aviso “REDACTED FOR PRIVACY”.
Há um endereço de e-mail para denunciar abusos. Entramos em contato com o Subreg.CZ, e inicialmente tivemos a seguinte resposta: “sua mensagem foi considerada suspeita e foi encerrada”. Havia também um link de autenticação para continuar o processo. Clicamos nele e recebemos o seguinte: “vamos investigar esse problema de abuso com o cliente que gerencia o domínio”.
A página foi denunciada na semana passada ao Itaú através do Twitter; no entanto, ela permanece no ar.
Olá tudo bem? Vc consegue encaminhar um print da tela pra gente?
— Itaú (@itau) February 4, 2019
O Tecnoblog entrou em contato com o Itaú, que solicitou a remoção da página falsa ao registrador de domínio. A empresa diz: “não mediremos esforços para que o site seja retirado do ar”. Ela também possui sistemas que detectam links maliciosos falsamente atribuídos ao banco.
Este é o posicionamento que recebemos:
Desde que detectou o caso, em mais de uma ocasião o Itaú Unibanco solicitou ao provedor (que mantém o site no ar) e ao registrante (o dono do domínio) que removessem a página falsa. Estamos acompanhando de perto esse processo e não mediremos esforços para que o site seja retirado do ar.
A instituição utiliza sistemas de segurança dedicados a detectar e remover páginas e links maliciosos falsamente atribuídos ao Itaú Unibanco. Qualquer cliente que perceber canais, e-mails e outras mensagens suspeitas pode reportá-los via e-mail ao nosso canal para tratamento de phising: emailsuspeito@itau-unibanco.com.br.
O Itaú Unibanco reitera que não aciona seus clientes para solicitar dados para confirmação de cartões, recadastramento de token ou informações pessoais.
Atualizado às 18h19 com posicionamento do Itaú.