Santander é vítima de “envenenamento de DNS”

Santander tem sido frequentemente alvo de phishers. O Santander no Reino Unido, muitas vezes fica na lista top-10 dos mais populares alvos de acordo com Phishtank. Na semana passada, o Santander brasileiro, santander.com.br, foi vítima de um ataque de envenenamento de cache DNS.

O site de phishing hospedado em 200.252.58.134 parece idêntico ao site original. Os atacantes replicaram todo o processo de autenticação, com o objetivo de reunir o login, senha e código de segurança dos usuários do banco.

[photopress:santander_phishing.PNG,full,pp_image]

O envenenamento de DNS fez este ataque ser muito mais eficaz. Os servidores DNS que foram envenenados estavam resolvendo santander.com.br para 200.252.58.134 (site phishing) em vez de 200.220.178.3 ou 200.220.186.3 (sites legítimos). Nesta situação, o atacante não precisou enviar milhares de e-mails para alcançar suas vítimas. Eles só precisou esperar que os clientes do banco fizessem o login em sua conta bancária acessando o site através dos servidores DNS envenenados.

Envenenamento de DNS também torna virtualmente todos as defesas dos navegadores inúteis. Navegação Segura do Google (Firefox, Safari, Chrome, etc) e Phishtank (Opera, etc), todos contam com uma lista negra, que é uma lista de URLs ou domínios para bloquear. É ser muito difícil para o usuário perceber que este é um site de phishing, porque se parece exatamente com o site real, e a URL mostra o domínio correto.

Neste ataque, havia apenas duas esquisitices que um usuário avançado poderia notar. Primeiro, o site clonado não estava suportando o tráfego HTTPS. Usuários avançados poderiam perceber que as credenciais são enviadas através de sessões seguras HTTPS e sites bancários sempre redirecionam a autenticação para páginas HTTPS. A segunda pista é a fonte da página: a última linha do código fonte da página, um comentário HTML, mostra que a página foi copiada do site original:

[photopress:santander_phishing_source.png,full,pp_image]

O problema já foi resolvido nos servidores DNS comprometidos.

Fonte: http://research.zscaler.com/2011/07/brazilian-bank-targeted-by-phishing.html

Esta publicação está na categoria Malware.

Os comentários estão encerrados.