Como visto no artigo publicado à respeito do phishing, perante os cuidados eminentes de “fisgar” o usuário ludibriando-o com falsos e-mails e demais informações virtuais para despertar sua curiosidade ou aproveitar de sua ingenuidade ou desatenção, existe uma outra modalidade à qual devemos nos atentar tomando conhecimento de mais esta “armadilha” virtual.

Trata-se de um tipo de golpe que redireciona os programas de navegação (browsers) dos internautas para sites falsos. A essa nova categoria de crime tem sido dado o nome de pharming.

O pharming opera pelo mesmo princípio do phishing, ou seja, fazendo os usuários pensarem que estão acessando um site legítimo, quando na verdade não estão. Mas ao contrário do phishing, o qual uma pessoa mais atenta pode evitar simplesmente não respondendo ao e-mail fraudulento, o pharming é praticamente impossível de ser detectado por um usuário comum da internet, que não tenha maiores conhecimentos técnicos.

Nesse novo tipo de fraude, os agentes criminosos se valem da disseminação de softwares maliciosos que alteram o funcionamento do programa de navegação (browser) da vítima.

Quando esta tenta acessar um site de um banco, por exemplo, o navegador infectado a redireciona para o spoof site (o site falso com as mesmas características gráficas do site verdadeiro). No site falseado, então, ocorre a coleta das informações privadas e sensíveis da vítima, tais como números de cartões de crédito, contas bancárias e senhas.

No crime de pharming, como se nota, a vítima não recebe um e-mail fraudulento como passo inicial da execução, nem precisa clicar num link para ser levada ao site “clonado”.

Uma vez que seu computador esteja infectado pelo vírus, mesmo teclando o endereço (URL) correto do site que pretende acessar, o navegador a leva diretamente para site falseado.

Sem isca

O pharming, portanto, é a nova geração do ataque de phishing, apenas sem o uso da “isca” (o e-mail com a mensagem enganosa). O vírus reescreve arquivos do PC que são utilizados para converter os endereços de internet (URLs) em números que formam os endereços IP (números decifráveis pelo computador).

Assim, um computador com esses arquivos comprometidos, leva o internauta para o site falso, mesmo que este digite corretamente o endereço do site intencionado.

A mais preocupante forma de pharming, no entanto, é conhecida como “DNS poisoning” (traduzindo para o português, seria algo como “envenenamento do DNS”), por possibilitar um ataque em larga escala. Nessa modalidade, o ataque é dirigido a um servidor DNS e não a um computador de um internauta isoladamente.

Como se sabe, o sistema DNS (Domain Name System) funciona como uma espécie de diretório de endereços da internet. Toda navegação na internet (no seu canal gráfico, a World Wide Web) tem que passar por um servidor DNS. Quando um internauta digita um determinado endereço web na barra de seu navegador (www.uol.com.br, por exemplo), o seu computador pessoal se comunica com o servidor do seu provedor local de acesso à internet, em busca do número IP que corresponde àquele determinado endereço.

Se o endereço procurado estiver armazenado no cache do servidor do provedor local, então ele mesmo direciona o programa de navegação para o endereço almejado ou, caso contrário, transfere a requisição para servidor de um provedor maior, e assim por diante, até encontrar aquele que reconheça o endereço procurado e faça a correspondência.

Larga escala

Um hacker pode invadir o servidor DNS de um provedor de acesso à internet e alterar endereços arquivados na memória cache. Se o servidor é “envenenado”, alteradas as configurações relativas a um determinado endereço web, internautas podem ser direcionados para um site falso mesmo teclando o endereço URL correto.

O ataque, assim praticado, produz resultados em muito maior escala do que a outra forma de pharming, em que os “pharmers” vitimam uma pessoa de cada vez, infectando os seus PCs com vírus. O ataque ao servidor DNS de um provedor de internet pode atingir inúmeros usuários de uma única vez.

De acordo com o instituto SANS, houve três ondas de ataques, entre 22 de fevereiro e 1 de abril. Na primeira (22 de fevereiro a 12 de março) e terceira (25 de março a 1 de abril), os usuários foram redirecionados a servidores de empresas de hospedagem comprometidos, a partir dos quais eram exploradas brechas de segurança no navegador Internet Explorer para instalar programas-espiões (spywares) na máquina dos usuários.

O segundo ataque (25 de março) parece ter sido trabalho de um spammer e os usuários foram redirecionados a páginas com propagandas de remédios vendidos sem prescrição médica.

O instituto de segurança observou que, durante o primeiro ataque, mais de 1,3 mil nomes de sites (domínios) foram “envenenados” para serem redirecionados aos servidores comprometidos. Entre estes sites estavam os de grandes corporações, como MSN.com da Microsoft, instituições financeiras, TVs e outros veículos de comunicação, provedores de internet, empresas antivírus e outras.

É importante notar que nenhum destes sites foi diretamente comprometido. O que ocorreu é que foram comprometidos alguns servidores DNS, de empresas cujos nomes não foram divulgados, e os usuários destas empresas foram redirecionados a servidores maliciosos toda vez que tentavam acessar os sites da lista de 1,3 mil nomes.

Concomitantemente à divulgação dos ataques de envenenamento divulgados pelo SANS, empresas de segurança, como Panda Software, divulgaram informações associando o termo pharming a outras técnicas de desvio de DNS.

Uma delas é a alteração de um arquivo chamado “hosts”, que está presente na maioria das versões do sistema Windows utilizadas domesticamente. Este arquivo, usado pelo navegador Internet Explorer para facilitar o acesso a páginas Web, pode conter uma tabela com nomes de sites de um lado, associados a endereços IP de outro.

Se estas associações forem modificadas, por um programa malicioso como um cavalo-de-troia ou por um ataque a distância, o usuário poderá ser direcionado a um site mal-intencionado toda vez que digitar o endereço alvo do ataque.

Um exemplo antigo foi o caso reportado pelo PandaLabs, envolvendo um ataque de pharming que utilizou o Trojan Banker.LKC. Onde as vítimas deste ataque comprometeriam seus dados bancários nas mãos de ciber-criminosos.

Neste caso, o Trojan Banker.LKC foi responsável pela manipulação do DNS. Este código malicioso chega aos sistemas com o nome “VideoPhone[1]_exe”. Ao ser executado, e de forma a enganar os utilizadores, abre uma janela do browser que mostra um website a vender o iPhone (veja imagem).

Enquanto os usuários estão a visualizar esta página, o Trojan modifica o arquivo de hosts redirecionando as URLs de bancos e de outras empresas para páginas falsas. Assim, os usuários que tentem acessar bancos escrevendo o endereço ou acessando através de uma pesquisa na internet, seriam redirecionados para páginas falsas. Aí serão solicitadas informações confidenciais (números de contas, senhas para transações, etc.) que cairão nas mãos dos criminosos.

Dicas simples dicas para se proteger um pouco mais

• Quando se conectar a um servidor/máquina a uma página onde são solicitados dados confidenciais, certifique-se que a URL (endereço digitado no seu browser) é o mesmo que escreveu e que não existem letras ou algarismos adicionais, etc.

• Verifique o certificado de segurança dos sites que visita. Qualquer negócio de e-commerce confiável possui certificado de segurança para os seus servidores, reconhecido por uma autoridade de segurança. Existem diversas autoridades de certificação; apesar de a Verisign ser a que possui maior reconhecimento.

• Certifique-se que possui uma proteção antivírus pró-ativa, eficaz e atualizada, porque tal como neste caso, a modificação do DNS é realizada frequentemente por códigos maliciosos.

• Utilize alguma ferramenta de firewall para controlar e verificar a comunicação do computador com a internet.

• Em caso de dúvida da veracidade de uma página ou e-mail, comunique a entidade mas não utilize os contatos existentes no e-mail ou página.

Soluções e testes:

AntiPharmingSolutions

Firefox add on

[Webinsider]

…………………………

Conheça os serviços de conteúdo da Rock Content..

Acompanhe o Webinsider no Twitter.

Mário Peixoto

Mário Peixoto (leitoronline@gmail.com) é consultor de segurança da informação e professor universitário.