Nos últimos dias, um ataque de phishing extraordinariamente bem elaborado foi lançado contra os portadores de cartões American Express. O golpe parece ser uma versão aprimorada de uma campanha anterior de phishing vista pela primeira vez em março passado, e imita a American Express tão bem, e com mensagens tão tortuosas, que pode atrair com sucesso muitas pessoas que normalmente detectariam e evitariam outros ataques de phishing.
No novo esquema, os usuários-alvo recebem uma mensagem de e-mail supostamente da American Express (em pelo menos uma variante o endereço de retorno aparece para os alvos como AmericanExpress@welcome.aexp.com) aconselhando o destinatário a se proteger de fraude e phishing estabelecendo uma 'Chave de segurança pessoal American Express (PSK)' para melhorar a segurança de suas contas. O e-mail é bem escrito e formatado como um e-mail American Express; ao contrário de algumas das versões anteriores, ele não contém links com rótulos incorretos (ou seja, links cuja descrição de texto contém código de link que não corresponde ao link real).
O e-mail contém um link na parte inferior para 'Criar um PSK' - e os usuários que clicam no link são direcionados a uma página de login falsa da American Express em um site no endereço http://amexcloudcervice.com/login/ ( é difícil notar o erro de ortografia - você notou?). Embora a falta de HTTPS também deva alertar algumas pessoas sobre a probabilidade de algo errado, e qualquer navegador que colore barras de URL com base no uso de criptografia obviamente não fará isso neste caso, como discuti em um artigo em coautoria com Shira Rubinoff há uma década, muitas pessoas se concentram inteiramente no conteúdo das janelas do navegador e não prestam atenção às dicas de segurança na infraestrutura do navegador.
Depois de fornecer informações de login para a página falsa da American Express - e independentemente de as informações de login estarem corretas - os usuários são apresentados a páginas de aparência real para inserirem números de cartão, datas de validade do cartão, código CVV de quatro dígitos do cartão, Números do seguro social, datas de nascimento, nomes de solteira das mães, data de nascimento das mães, data de nascimento e endereços de e-mail. Todas as solicitações de informações aparecem em uma interface que imita o site legítimo da American Express, com apenas pequenas falhas, difíceis de serem notadas pelos novatos. Claro, alguém pode perceber que não há razão para a American Express pedir algumas dessas informações - a empresa obviamente sabe os números do seu cartão assim que você faz login - mas muitas pessoas foram treinadas de fato por empresas de cartão de crédito para responder a tais perguntas, tendo sido solicitados a digitar ou recitar seus números e responder a todos os tipos de perguntas de segurança ao ligar para os provedores por telefone.
É claro que houve outros e-mails de phishing direcionados aos clientes da American Express (como houve contra titulares de outros cartões de crédito) e, como mencionado anteriormente, até mesmo alguns que exploram a tecnologia de segurança SafeKey oferecida pela American Express para truques extras. (Você notou que o e-mail de phishing separou incorretamente o SafeKey em duas palavras?)
Apesar de vários erros que os profissionais de segurança da informação podem achar flagrantes (você notou a falta do símbolo © na parte inferior?), O ataque atual parece bem elaborado e, portanto, tem mais probabilidade de enganar os clientes da American Express, a maioria dos quais obviamente, não lide com ataques de phishing como parte de seus trabalhos.
Também deve ser observado que desligar os phishers é difícil - a menos que os próprios perpetradores sejam capturados, mesmo que os sistemas de phishing sejam desativados, é simples para os criminosos reiniciarem os ataques usando novos servidores. E não é tão difícil para outros criminosos copiar a interface de phishing, adicionar um pouco de código e lançar seus próprios ataques de outros servidores também.
Então, como você deve se proteger?
Aqui estão algumas sugestões:
Conclusão: os criminosos estão continuamente melhorando na criação de e-mails de phishing
- então esteja preparado.
