Usuários do Dropbox enganados a entregar credenciais através de uma página de phishing enviada por SSL

Table Of Contents

• Usuários do Dropbox enganados a entregar credenciais através de uma página de phishing enviada por SSL
• O modus operandi
• Páginas de login servidas através de uma página da web usando um protocolo seguro

Usuários do Dropbox enganados a entregar credenciais através de uma página de phishing enviada por SSL

Após o vazamento maciço de 700.000 IDs e senhas de usuários do Dropbox, que o Dropbox nega ter sido roubado de seus servidores, as pessoas estão cautelosas quanto à segurança do Dropbox.

Acontece que um novo estilo de roubo de credenciais do Dropbox surgiu. Criminosos cibernéticos tentam roubar credenciais do Dropbox e de serviços de e-mail baseados na web criando uma página de login falsa que é hospedada no site de compartilhamento de arquivos, aproveitando-se de seu protocolo seguro. Este golpe foi descoberto pela Symantec.

O modus operandi

Como de costume, as potenciais vítimas recebem um e-mail com um assunto indicando que é ‘Importante’ de uma parte conhecida (que também foi uma vítima). O e-mail diz conter um grande arquivo que pode ser visualizado apenas pelo Dropbox. Assim que a vítima clica no link, ela é levada a uma página clonada do Dropbox onde é solicitada a inserir suas credenciais do Dropbox.

O problema com esta página clonada do Dropbox é que ela é servida por um site seguro contendo as palavras https antes da URL e ainda contém uma réplica exata do logotipo do Dropbox. Isso faz com que a vítima acredite que está na página real do Dropbox e entregue suas credenciais aos criminosos cibernéticos. A imagem que é dada abaixo é da referida página e pode enganar até mesmo o usuário mais prudente.

Páginas de login servidas através de uma página da web usando um protocolo seguro

Assim que o botão “entrar” é pressionado, o nome de usuário e a senha inseridos nos campos de login são enviados para um script PHP em um servidor comprometido, diz Nick Johnston da Symantec em um post no blog.

A estratégia principal dos criminosos cibernéticos de usar um protocolo seguro para hospedar seu site clonado nefasto funciona na maioria dos casos. O envio dos dados para a máquina acessada pelos criminosos também é realizado usando o protocolo seguro, o que não levanta suspeitas na vítima. Caso contrário, como a página falsa é acessada através de uma conexão criptografada, o navegador da web informaria que um canal de comunicação inseguro está sendo usado para entregar os dados, alertando que poderia ser interceptado e lido por um terceiro.

Johnston acrescenta em seu post no blog que nem todos os recursos da página de phishing são entregues por SSL. Os itens não seguros são marcados na parte superior esquerda do navegador da web, que exibirá um cadeado diferente na barra de endereços, indicando que algumas partes da página são inseguras. No entanto, ver o cadeado e o https no início da página é suficiente para a maioria dos usuários, o que os coloca em um risco maior.

“A página de login falsa é hospedada no domínio de conteúdo do usuário do Dropbox (como fotos compartilhadas e outros arquivos são) e é servida por SSL, tornando o ataque mais perigoso e convincente”, diz o pesquisador.

Este não é o primeiro caso de abuso do serviço de armazenamento em nuvem do Dropbox. No final de agosto, uma campanha de phishing por SMS (smishing) foi observada, confiando no mesmo método, a diferença sendo que os criminosos entregaram uma página falsa/clonada do Facebook.

*No entanto, dada a escala dos vazamentos recentes que atingiram o ciberespaço na semana passada, a discrição do usuário é aconselhada para evitar cair em tais armadilhas.