O PhishTank é um serviço criado pelo OpenDNS para identificar se uma URL é phishing ou não através da avaliação de outros usuários. É um serviço interessante. Se você suspeita de uma determinada URL, você pode verificar se a URL está no banco de dados do PhishTank. Caso a URL esteja cadastrada no banco de dados do PhishTank, você será informado se é um phishing ou não. Agora, se a URL que você está suspeitando não está no banco de dados, o PhishTank irá disponibilizá-la para que outros usuários a julguem. Com base na quantidade de votos, entre outros critérios, o PhishTank considera um phishing ou não.
O PhishTank também verifica se a URL informada existe, ou seja, acessa a URL e verifica o código de retorno da requisição HTTP, o statuscode. Se o statuscode for 404 (página não existe), o PhishTank considera que a página não existe e que não é um phshing. Aparentemente está tudo certo, correto?
Estaria tudo certo se não fosse a grande criatividade dos crackers, que neste caso, veio do Brasil. Um ataque a uma página brasileira, mais especificamente, a página do banco HSBC do Brasil usou a seguinte técnica: uma página falsa clone do HSBC pedindo a senha do cliente foi colocada num servidor comprometido. A técnica consiste em hospedar a página falsa na descrição do erro do 404. Desta forma, quando uma vítima acessar esta URL, o navegador irá receber o código 404 (página não existe) e quando for exibir a mensagem do 404 irá exibir o site clonado. A vítima irá ver o site clonado sem nenhum problema. Mas quando o PhishTank for julgar a URL comprometida, irá fazer a requisição e receberá um statuscode 404, desta forma, irá entender que a página não existe mais e considerar que a URL não é um phishing ! Como existem diversas formas e layouts para exibir a mensagem de que página não existe, num caso legítimo, fica muito difícil um processo automatizado identificar se a descrição que vem com o statuscode 404 é uma mensagem formatada explicando o erro ou é um site clonado de um banco, por exemplo.
O blog oficial do OpenDNS identificou a técnica e postou a situação, com uma linda foto da autora do post, concluindo que a segurança na Internet é um mundo de gato e rato. (Post no OpenDNS http://blog.opendns.com/2011/09/28/the-phish-that-almost-duped-phishtank-almost/)