Em março deste ano, publicamos um blog sobre a forma como os usuários do Google Docs e do Google Drive estavam sendo atacados por uma sofisticada ameaça de phishing. Nesta ameaça, as mensagens incluiam links falsos para uma página de login do Google Docs que estava hospedada no próprio Google.
Diariamente observados milhões de mensagens de phishing e recentemente identificamos uma ameaça similar a do Google Docs, porém neste caso dirigida para os usuários do Dropbox. O código malicioso utiliza um correio eletrônico (com o assunto “importante”) afirmando que o destinatário encaminhou uma mensagens muito pesada para ser enviado por email ou que não é possível enviar por correio eletrônico por razões de segurança. Como alternativa, o mesmo email sinaliza que o documento pode ser vizualizado por meio de um clic no link incluído na mensagem de email. No entanto, o link abre uma página de login falsa Dropbox, hospedado no próprio Dropbox.
Figura 1. Página falsa de login do Dropbox
A página de login falsa está alojada no domínio do conteúdo dos usuários do Dropbox (onde estão as fotos e outros arquivos compartilhados) e funciona por meio do SSL (Secure Sockets Layer), o que torna o ataque mais perigoso e convincente.
O site se parece muito com a página verdadeira de login do Dropbox, mas com uma diferença crucial. Dado que os cibercriminosos estão interessados em roubar informações além das credenciais do Dropbox, na página falsa é possível observar logotipos de alguns serviços comuns de correio eletrônico baseados na web, sugerindo aos usuários iniciarem o seu login por meio de suas credenciais desses serviços.
Depois de clicar em “entrar”, o nome do usuário e senha da vítima é enviada para um script PHP em um servidor de web comprometido. As credenciais também são submetidas por meio do SSL, onde é fundamental para o sucesso do golpe. Caso contrário, as vítimas poderiam visualizar um aviso de segurança, como este:
Figura 2. Aviso de Segurança
Uma vez que os dados dos usúarios são guardados e/ou enviados por correio eletrônico do cibercriminiso, o Script PHP simplesmente encaminha ao usuário a página verdadeira de login do Dropbox.
Embora a própria página seja alimentada por meio do SSL, e o nome e senha dos usuários são enviados mediante o protocolo, alguns recursos da página (como imagens) não se alimentam pelo SSL. O uso de recursos não-SSL em uma página baseada em SSL mostra avisos quando não são uasadas versões recentes dos navegadores. O destaque do aviso varia de navegador para outro; alguns simplesmente mudam o símbolo do cadeado mostrado na barra de endereços, enquanto outros incluem um pequeno banner no topo da página. Em qualquer um dos casos, é possível que o usuário não perceba ou compreenda estes avisos de segurança ou suas implicações associadas.
A Symantec reportou a página falsa do Dropbox, que imediatamente foi baixada. Qualquer página falsa que está hospedada no Dropbox poderá ser reportada diretamente para abuse@dropbox.com
Os clientes do Symantec Email Security.cloud, assim como aqueles das soluções Symantec Messaging Gateway e Symantec Messaging Gateway for Service Providers estão protegidos contra este tipo de ameaça.