Esta semana fui alertado pelo meu amigo Pedro (o homem que nunca twitta) sobre um golpe que visa roubar números de contas e senhas de usuários que utilizam bancos via internet. O golpe consiste em utilizar um vírus/worm ou outro método para alterar o arquivo de HOSTS do Windows, redirecionando endereços de instituições financeiras para falsos sites que possuem as mesmas interfaces usadas pelos bancos no intuito de enganar seus usuários.
O arquivo HOSTS é um arquivo especial do sistema operacional. Ele é capaz de forçar a resolução de certos nomes (ou sites na internet) para endereços IP específicos. Dessa forma, você pode bloquear sites, fazer com que um endereço entre em uma página diferente, entre outras coisas.
Verifique o arquivo hosts do seu Windows, ele se encontra normalmente dentro da pasta C:\WINDOWS\system32\drivers\etc e para abri-lo, clique com o botão direito > abrir > escolha a opção bloco de notas.
O arquivo original apresentará apenas um direcionamento do localhost em seu conteúdo, como no exemplo abaixo, o restante acima são apenas comentários.
127.0.0.1 localhost
Após ser modificado pelos golpistas, o arquivo hosts pode apresentar diversos redirecionamentos, como os que foram encontrados no arquivo do computador infectado:
127.0.0.1 localhost
65.18.164.41 www.bradesco.com.br
76.163.108.205 www.santander.com.br
65.18.164.41 bancoreal.com.br
65.18.164.41 bancodobrasil.com.br
65.18.164.41 banrisul.com.br
65.18.164.41 bb.com.br
65.18.164.41 bradesco.com.br
76.163.108.205 santander.com.br
65.18.164.41 itau.com.br
76.163.108.205 americanexpress.com.br
76.163.108.205 itaupersonnalite.com.br
76.163.108.205 bradescoprime.com.br
Através desses redirecionamentos, o cliente que acessa o site de algum destes bancos acima é levado para uma página falsa hospedada em alguns destes enderços de IP, onde o cliente é induzido a digitar seus dados bancários que eventualmente serão usados para realização de saques e transferências indevidas.
Verifique o arquivo hosts do seu Windows e caso ele possua alguma alteração, apague-as e reforce a segurança do seu anti-vírus! Algumas empresas fazem mudanças no arquivo hosts para controlar o tráfego da rede. Caso encontre alguma alteração neste arquivo, informe ao administrador da sua rede.
Entre os hosts usados para hospedar sites falsos pelos golpistas é possível encontrar coisas inusitadas, como este site de uma igreja evangélica que hospeda um teclado virtual usado para roubar senhas de clientes do banco Bradesco.
Clique para ampliar
Parece que atráves de alguma brecha de segurança no host os golpistas conseguiram transferir arquivos e usar o host da igreja como um fantasma para hospedar a tela que imita o banco ou o próprio administrador do site da igreja está por trás do golpe, quem sabe.
Muitas pessoas deixam de usar os serviços do internet banking por receio deste tipo de golpe, mas tomando todos os devidos cuidados, como verificar se o endereço da página é realmente do banco, visualizar o cadeado no navegador que atesta que aquela é uma conexão segura e sempre manter um bom programa anti-vírus atualizado no computador, garantem tranquilidade para este tipo de operação. Denuncie ao seu banco qualquer tipo de anomalia suspeita.
