Itaú: Golpe aprimorado de phishing tenta roubar número e senha de cartão de crédito do banco

Letícia Saturnino
Letícia Saturnino
Publicado em 12/02/2019 às 15:31
Imagem do site onde o golpe acontece. (Foto: Tecnoblog)
Imagem do site onde o golpe acontece. (Foto: Tecnoblog) FOTO: Imagem do site onde o golpe acontece. (Foto: Tecnoblog)

Um site de phishing está utilizando um domínio aparentemente legítimo para tentar roubar números de cartão de crédito Itaucard, data de validade, código de segurança, senha e CPF do titular. Apesar do endereço ter HTTPS e não parecer suspeito, ele foi registrado na República Tcheca. Além disso, a página verifica se o número do cartão e do CPF são válidos. Ela foi denunciada ao Itaú há cerca de uma semana, mas permanece no ar.

Além disso, o site usa HTTPS. Ele tem um certificado SSL do Let’s Encrypt, que pode ser adquirido gratuitamente caso você comprove que detém controle sobre um domínio da web. Há suporte ao protocolo TLS 1.2 e à criptografia AES de 256 bits.

No entanto, este é um dos golpes mais bem-feitos que já se viu. Começa pela URL: ela não utiliza hífens e nem sequências estranhas de caracteres — sinais comuns de uma URL criminosa.

Leia mais: Samsung divulga teaser de evento anúncio do S10 e de seu celular dobrável

Leia mais: Internet Explorer: Microsoft pede que usuários não usem o navegador

Ele funciona da seguinte maneira: cartões de crédito, débito e fidelidade possuem 16 números e o último deles é uma espécie de dígito verificador, gerado através do algoritmo de Luhn, para garantir que o cartão é válido. A página tem código JavaScript especificamente para calcular esse dígito verificador e conferir se ele está correto.

O mesmo vale para o seu CPF: existe código JavaScript para conferir se os dígitos verificadores estão certos. Além disso, a página usa a fonte Roboto, padrão dos aparelhos Android.

Após inserir o número de cartão e senha, o site pedirá o código de segurança, data de validade e seu CPF. Após isso, é enviada uma mensagem ao usuário com a seguinte frase: “Parabéns! Sua inscrição foi realizada com sucesso. Será enviado um SMS confirmando sua inscrição”. Por fim, você é redirecionado para o site oficial do Itaú.

A página foi denunciada na semana passada ao Itaú através do Twitter; no entanto, ainda permanece no ar. O Itaú está investigando o caso.

 

Informações do Tecnoblog.