Atualização Obrigatória – Bradesco

Depois de um tempo fora, estou voltando a postar no blog! Vamos para a próxima análise!

Recebi um e-mail do Bradesco contendo o assunto “Atualizaçao Obrigatoria”, onde o criminoso já cometeu um erro, onde está a acentuação?

O conteúdo do e-mail era que houve um problema nas chaves de seguranças e elas precisariam ser recadastradas. No final do e-mail existia um link supostamente da página do Bradesco, mas apontava para uma outra página (http://www.kxxxe.com.xxx/arquivo/trabalho/), como é possível visualizar na imagem abaixo:

Ao clicar no link do e-mail (http://www.kxxxe.com.xxx/arquivo/trabalho/), automaticamente somos redirecionado para o endereço http://sistematicaxxxurana.xxx/liberation/LOGIN.php, onde a partir desta página, o criminoso irá solicitar todos os seus dados bancários, todas as suas chaves de segurança do cartão de chaves e em seguida armazenar essas informações.

A primeira página do golpe solicita: agência, conta, titular da conta e a senha de 4 dígitos, como pode ser visto na imagem abaixo:

Na tela seguinda é solicitada a chave da posição 47, como pode ser visto na imagem abaixo:

Na terceira tela, informações do cartão são solicitadas, como número do cartão, código de segurança, via, tipo, desde, validade, nome gravado no cartão. A terceira imagem pode ser vista logo abaixo:

Na próxima tela, nos deparamos com uma tela semelhante a tela original do banco do Bradesco, mas com um detalhe, uma imagem no centro da tela informando que as chaves de segurança não foram ativadas.

Se clicarmos em qualquer link da tela anterior, somos redirecionado para a tela de “chave de segurança Bradesco”, que é uma tela solicitando todas as 70 chaves de segurança do cartão de chaves e a senha do cartão de débito, ou seja, esta é a última tela do golpe, pois nas telas anteriores o criminoso já capturou todas as suas informações e estão faltando apenas as chaves de segurança. A última tela do golpe pode ser vista abaixo:

Para finalizar o golpe, após clicar no botão para enviar as chaves de segurança, somos redirecionado para uma página de erro, informando que a sessão foi encerrada e em seguida somos redirecionado para o site do Bradesco (www.bradesco.com.br). Última imagem abaixo:

Fazendo uma análise dos dois sites que participam deste golpe: http://www.kxxxe.com.xxx/arquivo/trabalho/ e http://sistematixxxurana.xxx/liberation/LOGIN.php

=> http://www.kxxxe.com.xxx/arquivo/trabalho/

Verifiquei que este site está vulnerável a uma falha de php injection e consequentemente é possível executar códigos remotamente, segue a imagem abaixo:

Com a vulnerabilidade existente do site, era possível navegar em todas as pastas e também visualizar/modificar/remover os arquivos. Com acesso aos arquivos, fui verificar o index.php da pasta /arquivo/trabalho/ . O conteúdo do arquivo era somente o código de redirecionamento de página:

=> http://sistematicxxxrana.xxx/liberation/LOGIN.php

Analisando a página do sistematicaseseguranca.com, é possível listar todos os arquivos da pasta “liberation”, e dentro desta pasta existe uma outra pasta chamada “bonde”, onde é nesta pasta que são criados os arquivos TXT contendo as informações das vítimas.

Não canso de falar: NÃO CLIQUEM EM LINKS SUSPEITOS, OS BANCOS NUNCA SOLICITAM DADOS AOS SEUS CLIENTES.

Share Button

Comentários

comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.