Recentemente, muitas campanhas de sms phishing ou smishing estão induzindo clientes de várias instituições bancárias a clicarem em URLs maliciosas, apenas simulando, via mensagem de texto, uma perfeita comunicação como se as mesmas fossem originadas das instituições financeiras. Em campanhas bastante sofisticadas, o atacante inicia o ataque ao cliente alvo enviando um simples SMS com mensagem de texto, seguido de um link para roubo de informações pessoais e dados bancários.
O contexto vai de acordo com os serviços que são oferecidos aos clientes pelas diversas instituições.
Abaixo, exponho um ataque real, que tem como alvo clientes de uma instituição bancária, para que vocês possam entender o cenário e ver como proceder em caso de suas instituições serem vítimas deste tipo de ataque.
Lembrem-se que cada incidente é único e vai depender da análise para saber quais os procedimentos corretos a serem tomados e quem deverá ser notificado.
Cenário Real
1 – Alguns meses atrás, um SMS foi disparado para vários telefones celulares de várias pessoas. Inclusive, clientes do banco alvo receberam a mensagem de texto contendo uma URL Phishing, relatando que seus dados encontravam-se desatualizados, induzindo-os assim a clicarem no link para atualização, caso contrário, sua conta seria BLOQUEADA.
Segue abaixo a imagem do SMS recebido pelas pessoas, um cliente desavisado poderia pensar que era do banco e cair no golpe. Como você pode ver, o texto é bastante direcionado e a URL foi encurtada, talvez para ocultar o domínio fraudulento, ou simplesmente para reduzir o tamanho no texto.
Após clicar na URL, a página era redirecionada para o suposto domínio fraudulento e nele eram solicitados dados pessoais e bancários dos clientes, como pode ser visto na imagem abaixo:
Talvez você não saiba, mas ataques desse tipo são reconhecidos como “ataque homográfico”. Geralmente é quando o usuário clica em um link enviado via e-mail ou SMS e são, na verdade, páginas falsas de phishing, cuja URL é uma farsa para aplicar golpes.
Vejam que a página é bastante convincente sinalizando ser “segura” por possuir certificado digital. Mas as vítimas não observam se o certificado é do banco, pelo simples fato de muitos não terem conhecimento técnico e também por seu uso ser comum em sites oficiais. Geralmente a página é similar ao aplicativo mobile da instituição, por isso passa uma certa “segurança” e engana a vítima, que acaba caindo no golpe ao fornecer seus dados, o que podem acarretar em futuras fraudes.
Outro detalhe é que, durante nossa análise inicial, identificamos que só era possível abrir a URL através de dispositivos móveis. Ao tentar acessar através de um computador, a página simplesmente não carregava.
Iniciando a análise
Tendo posse da URL maliciosa, vamos iniciar o tratamento a esse tipo de incidente.
De início, tomamos as medidas cabíveis de acordo com as boas práticas recomendadas pelo CERT.Br no endereço https://www.cert.br/docs/whitepapers/notificacoes/ .
Obs.: É importante sempre buscar fontes confiáveis para o tratamento de incidentes. Nestes casos, o CERT.Br é a fonte mais confiável e indicada.
Buscando contatos
Não existe uma fonte única em busca de contatos, mas uma das principais fontes de pesquisa para dados de contatos de redes, domínios, ASs, é o serviço de WHOIS. Algumas ferramentas online podem facilitar a busca e a identificação do servidor WHOIS mantenedor dos registros. O CERT mostra exemplos no item 7. Exemplos de consultas WHOIS no código de boas práticas.
Veja abaixo que, através de uma simples busca WHOIS, conseguimos obter várias informações que foram bastante relevantes na hora de reportar o incidente. Fizemos a busca pelo domínio malicioso enviado no SMS e obtivemos as seguintes informações:
Resumo da consulta:
1 – Podemos ver que o domínio foi registrado no Public Domain Register.
2 – A data de criação do Domínio.
3 – O contato de “abuse” que será notificado na solicitação do TakeDown. (Dos campos de contato disponíveis nos registros WHOIS, o contato "abuse" é quem deve ser notificado. Na ausência do "abuse", o contato técnico é o mais apropriado).
Na seção 4.1 WHOIS, o CERT mostra alguns endereços úteis de serviços de WHOIS. Para domínios no Brasil, o endereço https://registro.br/cgi-bin/whois/ é muito utilizado.
Mapeando o IP do ANS
Nesta etapa, precisamos mapear o endereço IP que estava associado a URL maliciosa. O comando nslookup (no Windows) nos ajudou com essa informação (existem outros tipos de consultas, ver ítens 7.2 e 7.4 na documentação do CERT).
Podemos utilizar várias ferramentas como mecanismos de buscas, nesse caso, utilizo muito o http://www.ipvoid.com/, pois consigo buscar outras informações relevantes, além de somente o endereço IP. Na consulta que segue na imagem abaixo, consegui a informação de que o domínio estava hospedado na Limestone Networks, Inc. Ou seja, o IP 74.63.xxx.xxx resolvia para a URL https://sms-atualizar.xxxxxx/xxx.php.
Resumo da consulta:
1 – O referido IP havia sido reportado em uma blacklist global.
2 – Conseguimos encontrar o Reverse DNS do servidor.
3 – Vimos que o Owner era a Limestone Networks.
4 – Na Opção IP Whois, conseguimos obter o contato de abuse da Limestone Networks.
5 – Ao clicarmos em Find Sites, vimos que haviam mais de 180 WebSites hospedados no mesmo servidor.
Procedimentos para solicitação do TakeDown
Tendo posse da informações sobre registro e hospedagem do domínio, agora vamos iniciar os procedimentos para notificarmos o incidente e solicitarmos o TakeDown.
Existem diferentes formas para se notificar incidentes, embora algumas sejam mais recomendadas que outras em determinadas situações:
E-mail: método mais usual e eficaz de envio de notificações. Demais opções devem ser usadas apenas quando o e-mail não tenha se mostrado efetivo ou não esteja disponível.
Caso algum dos domínios ou redes envolvidos sejam brasileiros , os casos podem ser notificados diretamente ao Registro.br (hostmaster@registro.br), mantendo sempre o CERT.br (cert@cert.br) na cópia da mensagem.
Em caso de domínios NÃO brasileiros , tais casos devem ser notificados à organização onde o domínio foi registrado (Registrar), mantendo em cópia o CERT.br e o CSIRT Nacional do país de registro.
Formulário Web: método alternativo e mais indicado para notificações por usuários finais, por ser mais interativo;
Telefone: provavelmente será bastante custosa, tanto em termos financeiros como de eficiência do trabalho de tratamento de incidentes.
Na documentação, o CERT.Br possui alguns modelos de notificações que devem ser utilizados na resposta a esse tipo de incidente. Neste caso, utilizei a opção 8.5 Domínios utilizados para fraudes – Inglês, uma vez que o domínio não foi registrado/hospedado no Brasil. Favor checar em https://www.cert.br/docs/whitepapers/notificacoes/
Resposta ao TakeDown
Após algum tempo de envio, você recebe um e-mail informando que existe um ticket aberto e que está em análise pelo time técnico responsável.
Uma vez constatado a fraude, o TakeDown ele não é imediato, uma vez que cada registro DNS de domínio tem um valor TTL. Mesmo o domínio já tendo sido retirado do ar, o TTL do registro é quem vai determinar quanto tempo levará para uma alteração ser efetuada. Por exemplo, as alterações em um registro que tenha um TTL de 86.400 segundos, levarão, em média, 24 horas para entrar em vigor.
O encerramento do incidente acontece quando o domínio fica indisponível.
Outras ações
Além de todo o procedimento realizado para tirar um domínio malicioso do ar, você também pode tomar outras ações para evitar que clientes sejam impactados nestas campanhas fraudulentas, como:
1 – Enviar via SMS e redes sociais um alerta de conscientização para os clientes, informando que sua instituição não solicita atualização de dados cadastrais pela internet.
2 – Conscientizar para que não cliquem em links desconhecidos e em caso de tentativas de fraudes, entrarem em contato com a instituição para medidas cabíveis (informar contatos técnicos e/ou de CSIRTs da empresa).
3 – Também existe a opção de reportar a alguns navegadores web, que a URL "tal" trata-se de um phishing. Para isso, você pode utilizar a plataforma do PhishingTank, que é uma comunidade baseada no serviço anti-phishing muito confiável e de referência.
Veja que, antes mesmo do domínio ser retirado do ar, a URL já era classificada como sendo maliciosa pelo Google Chrome:
CERT INFORMA:
É importante salientar que as entidades registradoras de domínios (Registrars e Registries) só tem capacidade de sanção contra domínios que estejam desrespeitando cláusulas contratuais, ou por ordem judicial. Se o procedimento para verificação do domínio não constatar violação de contrato, será necessário que a entidade vítima da fraude mova ação judicial contra o dono do domínio fraudulento, a fim de obter ordem judicial para cancelamento do domínio.
Enfim, é tudo isso! Espero que tenham gostado e lembrem-se que cada incidente é específico e o tratamento e resposta dependerão do tipo e vetor do ataque.
Fonte: https://www.cert.br/docs/whitepapers/notificacoes
