Todo mundo erra ao digitar o endereço de um site. Troca-se uma letra aqui, outra lá, e assim o internauta que esperava chegar a um site, acaba caindo em outro. Esse tipo de erro é bastante comum e os cibercriminosos costumam explorar esse deslize na digitação para direcionar os usuários incautos para sites maliciosos, cujo nome é bastante parecido com o original.
Chamamos esse tipo de ataque de typosquatting, onde o criminoso compra e registra um domínio de internet usando um nome parecido com o legítimo, mas com uma diferença de uma letra a mais ou a menos no nome. Assim o usuário despercebido na digitação será direcionado ao site falso, sem às vezes perceber.
Foi assim que um cibercriminoso brasileiro registrou em poucos dias 80 domínios maliciosos, usando o nome de 6 grandes bancos brasileiros, esperando que a vítima acredite estar na página legítima, quando na verdade está numa página falsa preparada especialmente para roubar suas credenciais de acesso.
O cibercriminoso registrou o domínio usando as informações abaixo, provavelmente são dados falsos ou o dono do CPF sequer sabe que seu nome foi usado pra isso:
![]("http://i.tiinside.com.br/artigos/275758/1.png")
A lista dos domínios falsos que foram criados é grande, e como podemos observar, ele se vale na mudança de poucas letras, geralmente próximas no teclado:
aicredi.com.br
babrisul.com.br
bancibradesco.com.br
bancidobrasil.com.br
bancobradesco.cim.br
bancobradescp.com.br
bancobradwsco.com.br
bancodibrasil.com.br
bancodovrasil.com.br
bancodpbrasil.com.br
bancohsbc.cim.br
bancoirau.com.br
bancoitau.cim.br
bancoitsu.com.br
bancosantsnder.com.br
bancosobrasil.com.br
bancsantander.com.br
banriaul.com.br
banridul.com.br
banrisuk.com.br
banrisul.cim.br
banrosul.com.br
banrusul.com.br
bantisul.com.br
bantoitsu.com.br
bsncodobrasil.com.br
bsnrisul.com.br
cooperativasicred.com.br
cooperativasicredi.cim.br
coperativasicredi.com.br
dantander.com.br
iitaupersonnalite.com.br
itauclientes.com.br
itauempresa.com.br
itauempresas.cim.br
itaunetbank.com.br
itaupersonnaliet.com.br
itaupersonnalite.cim.br
itauprivat.com.br
itauprivate.cim.br
itauprsonnalite.com.br
itaupwrsonnalite.com.br
itauubiclass.com.br
itauuniclass.cim.br
itauuprivate.com.br
itsau.com.br
itzu.com.br
sabtander.com.br
sabtanderempresas.com.br
sahtander.com.br
sahtanderempresas.com.br
sajtanderempresarial.com.br
sangander.com.br
sanranderempresas.com.br
santajderempresarial.com.br
santander3mpresarial.com.br
santanderekpresarial.com.br
santanderemepresarial.com.br
santanderemprwsas.com.br
santanderemptesas.com.br
santandernetbank.com.br
santanfwrempresarial.com.br
santqnder.com.br
santsnderwmpresarial.com.br
santwnderempresarial.com.br
santznder.com.br
sanyanderempresas.com.br
siccredi.com.br
sicrdi.com.br
sicredk.com.br
sicredu.com.br
sicrwdi.com.br
sictedi.com.br
sivredi.com.br
sixredi.com.br
snantanderempresarial.com.br
snatander.com.br
sqntenderempresarial.com.br
ssicredi.com.br
wmpresarialsantander.com.br
Nem todos os domínios registrados foram usados pelo cibercriminoso. No momento em que escrevemos o artigo apenas 15 domínios, usando o nome de 3 bancos estavam efetivamente hospedando páginas falsas, como esse:
![]("http://i.tiinside.com.br/artigos/275758/2.png")
Apesar de engenhosidade do golpe, os domínios falsos não exibiam páginas com conexão segura (HTTPS) e nem o cadeado de segurança, comum nas páginas de autenticação. Além disso, várias telas exibiam erros de ortografia:
![]("http://i.tiinside.com.br/artigos/275758/3.jpg")
“feixe o seu navegador”
Quando for acessar a página do seu Banco, fique atento ao endereço digitado! Os usuários do Kaspersky Internet Security 2012podem se assegurar de estar na página correta usando o recurso de “Online Banking” e assim garantir um acesso seguro.
![]("http://i.tiinside.com.br/artigos/275758/4.jpg")
Ao encontrarmos os domínios falsos reportamos o incidente ao Registro.br, órgão responsável pelo gerenciamento de domínios no Brasil, que rapidamente os desativou e os removeu.
A Kaspersky explica aos usuários do Internet Banking as seguintes dicas:
Verificar se o acesso é seguro – todos os sites de autenticação de banco começam com “https”, que mostram a conexão segura (os endereços falsos encontrados não apresentavam este tipo de conexão),
Verifique a presença do cadeado de segurança na página (os endereços falsos encontrados não apresentavam o cadeado),
Nunca salve o endereço do Internet Banking nos favoritos. Há golpes que alteram os favoritos para direcionar o usuário para uma página falso,
Digite o endereço do banco pausadamente e com atenção para evitar cair no golpe do registro falso,
Dê preferência ao domínio b.br. Desde o começo de 2012, todos os bancos aderiram ao domínio banco.b.br.,Nunca clicar em mensagens enviadas por e-mail, as famosas mensagens de phishing,
Não use o Google para procurar a página do banco, pois criminosos usam links patrocinados para aparecer no topo da página e levar o usuário para páginas falsas,
Dê preferência a uma execução segura. Programas de antivírus oferecem ferramentas de navegação segura, onde você registra o endereço do banco e este é executado em um ambiente protegido.
