Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

+1 -800-456-478-23

Blog

Página de phishing usa domínio com “Itaucard” para obter números de cartão de crédito, código de segurança, senha e CPF.

Um site de phishing está usando um domínio aparentemente legítimo para roubar números de cartão de crédito Itaucard, data de validade, código de segurança, senha e CPF. O endereço tem HTTPS e não parece suspeito, mas foi registrado fora do Brasil. Além disso, a página verifica se o número do cartão e do CPF são válidos. O Itaú já solicitou a remoção, mas ela permanece no ar.

Eu recebi um SMS nesta segunda-feira (11) à noite dizendo: “tentativa de uso do seu ITAUCARD, verifique seu extrato em itaucard[.]digital”. (O link era clicável na mensagem; colocamos os colchetes por motivos de segurança.) Eu não tenho cartão de crédito Itaucard, então sabia que se tratava de um golpe.

No entanto, este é um dos golpes mais bem-feitos que já vi. A começar pela URL: ela não usa hífens (como itaucard-digital[.]com) nem sequências estranhas de caracteres (como itaucard.swhzjgswb[.]com) — sinais comuns de uma URL enganosa.

Além disso, o site usa HTTPS. Ele tem um certificado SSL do Let’s Encrypt, que pode ser adquirido gratuitamente caso você comprove que detém controle sobre um domínio da web. Há suporte ao protocolo TLS 1.2 e à criptografia AES de 256 bits.

Você encontrará o cadeado fechado na barra de endereços; Chrome, Firefox e Microsoft Edge avisam que “a conexão é segura”. Isso é verdade: os dados que você inserir na página serão transmitidos com criptografia até o servidor — a conexão estará protegida, mas o site não é seguro.

Isso é mais comum do que parece: segundo a consultoria de segurança PhishLabs, 49% dos sites de phishing usavam HTTPS no terceiro trimestre de 2018.

Site de phishing confere se número de cartão é válido

Tem mais: o site verifica se você digitou um número válido de cartão de crédito; caso contrário, ele emite uma mensagem de erro. Muitas campanhas de phishing não se preocupam com esse detalhe e aceitam qualquer sequência de dígitos.

Funciona assim: cartões de crédito, débito e fidelidade possuem 16 números. O último deles é um dígito verificador, gerado através do algoritmo de Luhn, para garantir que o cartão é válido. A página tem código JavaScript especificamente para calcular esse dígito verificador e conferir se ele está correto.

O mesmo vale para o CPF: existe código JavaScript para conferir se os dígitos verificadores estão certos. Além disso, a página usa a fonte Roboto, padrão do Android.

Após inserir o número de cartão e senha, o site pedirá o código de segurança, data de validade e seu CPF. Feito isso, você recebe a mensagem: “Parabéns! Sua inscrição foi realizada com sucesso. Será enviado um SMS confirmando sua inscrição”. Por fim, você é redirecionado para o site oficial do Itaú.

Vale notar que, com um pouco de experiência em desenvolvimento web, não seria tão difícil criar um site de phishing como este. É fácil encontrar na internet o algoritmo de Luhn e o validador de CPF em JavaScript; além disso, obter um certificado HTTPS é gratuito e fácil de implementar graças ao Let’s Encrypt. A parte mais difícil talvez seja conseguir uma URL que parece legítima.

Site de phishing tem domínio registrado fora do Brasil

O domínio itaucard[.]digital foi registrado em 7 de janeiro de 2019 através do Subreg.CZ, um registrador da República Checa. Os dados do responsável estão ocultos; seu nome, endereço físico, e-mail e telefone trazem o aviso “REDACTED FOR PRIVACY”.

Há um endereço de e-mail para denunciar abusos. Entramos em contato com o Subreg.CZ, e inicialmente tivemos a seguinte resposta: “sua mensagem foi considerada suspeita e foi encerrada”. Havia também um link de autenticação para continuar o processo. Clicamos nele e recebemos o seguinte: “vamos investigar esse problema de abuso com o cliente que gerencia o domínio”.

Itaú solicitou remoção de página falsa

A página foi denunciada na semana passada ao Itaú através do Twitter; no entanto, ela permanece no ar.

O  Itaú, que solicitou a remoção da página falsa ao registrador de domínio. A empresa diz: “não mediremos esforços para que o site seja retirado do ar”. Ela também possui sistemas que detectam links maliciosos falsamente atribuídos ao banco.

Este é o posicionamento que recebemos:

Desde que detectou o caso, em mais de uma ocasião o Itaú Unibanco solicitou ao provedor (que mantém o site no ar) e ao registrante (o dono do domínio) que removessem a página falsa. Estamos acompanhando de perto esse processo e não mediremos esforços para que o site seja retirado do ar.

A instituição utiliza sistemas de segurança dedicados a detectar e remover páginas e links maliciosos falsamente atribuídos ao Itaú Unibanco. Qualquer cliente que perceber canais, e-mails e outras mensagens suspeitas pode reportá-los via e-mail ao nosso canal para tratamento de phising: [email protected].

O Itaú Unibanco reitera que não aciona seus clientes para solicitar dados para confirmação de cartões, recadastramento de token ou informações pessoais.

 

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Importante: Este site faz uso de cookies que podem conter informações de rastreamento sobre os visitantes.
Criado por WP RGPD Pro