Um novo dia, uma nova página de phishing querendo roubar seus dados. O threat researcher Ialle topou hoje (07) com uma nova página falsa, desta vez, simulando o domínio oficial dos postos Ipiranga, uma das maiores empresas distribuidoras de combustível do Brasil.
Na imagem enviada pelo pesquisador no Twitter (@MalwareHunterBR), é possível notar que o site falso simula de maneira praticamente perfeita o domínio oficial do Ipiranga. A vítima, quando entra no site falso, pode preencher um campo com nome completo, senha e CPF, permitindo de uma maneira fácil a realização de diversos golpes.
Se os cibercriminosos por trás deste golpe forem mais "preguiçosos", eles podem "apenas" usufruir os pontos das vítimas
Veja só, são quatro informações sensíveis roubadas: nome completo, CPF, senha e interesse/conta no Ipiranga. Dessa maneira, cibercriminosos podem campanhas de phishing mais customizadas para atacar vítimas em específico, além de começar um trabalho mais refinado de engenharia social.
De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
Por outro lado, se os cibercriminosos por trás deste golpe forem mais "preguiçosos", eles podem "apenas" usufruir os pontos das vítimas e consumir os benecíficios de cada conta roubada.
Site falso do Ipiranga
Ponto importante notado por Ialle: o domínio falso está na infraestrutura de hospedagem da UOL. Veja a imagem abaixo
Imagem enviada por Ialle ao TecMundo
- Caso você seja usuário Ipiranga, cuidado ao receber links via email e mensageiros. Busque sempre os canais oficiais para acessar sua conta — vale aquela dica de ouro para descobrir se um site é falso de maneira rápida: escreva seu login e senha com erros, se o site aceitar o login, provavelmente você está em um domínio falso.
Categorias