Segundo dados recentes da FEBRABAN (Federação Brasileira de Bancos) o país possuí hoje cerca de 3,3 milhões de usuários de mobile banking, e com a popularização de smartphones e tablets esses acessos irão aumentar. Quase todos os grandes bancos brasileiros já possuem páginas desenhadas no formato mobile, para comodidade desses usuários, o que torna natural aos phishers criarem suas páginas falsas em formato mobile. Esse tipo de ataque é comum fora do país, porém inédito entre cibercriminosos brasileiros, e uma página de phishing tem o potencial de atingir usuários de qualquer plataforma mobile: iOS, Android, Blackberry, Windows Phone, etc.
A Kaspersky registrou essa semana um ataque desenvolvido por phishers brasileiros criado especialmente para usuários de mobile banking, com páginas falsas feitas em formato mobile. O ataque começa com uma mensagem de e-mail com o titulo “Seu Banco na palma da sua mão”, solicitando uma suposta ativação de acesso:
Ao acessar o link o usuário será direcionado para um domínio malicioso hospedando a página falsa, já configurada em formato móvel:
Para tornar o golpe menos suspeito, os golpistas invadiram um domínio legítimo que possui a palavra “mobile” no nome e nele hospedaram as páginas falsas de 2 bancos brasileiros.
A página falsa solicita as senhas da vítima e seu número de celular:
As URLs usadas nos golpes demonstram claramente que o alvo são usuários móveis
xxxxx.org.br/templates/abvn/image/mobile.php xxxxxxx.com/images/acessomobile/index.asp xxxx.com/goz/wallimages/thumbs/acessomobile/ xxxxxxxx./templates/mobile.php mobilexxxxxxx.com/action/validar.php
A Kaspersky denunciou os sites as autoridades competentes e as páginas foram removidas do ar, porém estamos certos que novos ataques usando essa abordagem se tornarão comuns.
Se você é usuário de mobile banking, fique atento:
- dê preferência aos aplicativos de mobile banking oficiais disponibilizados gratuitamente pelo seu Banco. Eles podem ser baixados na loja de aplicativos do seu smartphone;
- evite o acesso através do navegador. Caso seja realmente necessário, dê preferência para os sites com endereço b.br, ou seja seubanco.b.br
- nunca faça operações via mobile bank estando conectado em uma rede wireless pública, dê preferência para redes de dados 3G ou Edge da sua operadora;
- nunca clique em links enviados por supostos e-mails do seu banco;
- não use o Google para procurar a página do banco, pois criminosos usam links patrocinados que aparecem no topo da página;
- instale um antivírus em seu smartphone ou tablet, alguns deles possuem recursos como navegação segura, capaz de bloquear o acesso a sites de phishing
- o Kaspersky Mobile Security para usuários de Android também protege contra ataques de phishing e pode ser baixado gratuitamente aqui.
Raidbr, uma Partner Silver da Kaskpersky
Fonte: Kaspersky Lab
