Página Inicial



twitter

Facebook

  Notícia
|

 

TOME CUIDADO COM ESTE GOLPE DE PHISHING PERIGOSAMENTE CONVINCENTE DA APPLE ID

21/03/2014

Apenas um dia depois do mundo descobrir o golpe de phishing perigosamente convincente no Google Docs, uma empresa de segurança revelou um ataque parecido envolvendo a tela de log-in da Apple ID. E, o que é bem estranho, ela esta hospedada no site da produtora de jogos EA.

A Netcraft explicou o golpe em seu blog. Começa com uma URL legítima da EA que redireciona o usuário para o que aparenta ser um tela legítima de log-in da Apple ID. Mas não é. Assim que você entrar com os detalhes, é levado a uma segunda página que pede por detalhes pessoais, incluindo nome completo, número de cartão de crédito (e código de verificação), data de nascimento – e até o nome de solteira da sua mãe! Quando você clica em “ok” nesta página, é redirecionado para a página real da Apple ID.

Não sabemos exatamente como os hackers por trás do esquema de phishing estão enviando as pessoas para o domínio da EA e para a página falsa de log-in, mas é fácil imaginar que isso esteja escondido em um email com algum tipo de oferta da Apple, ou até mesmo algo relacionado a jogos da EA para iPhone. A EA, obviamente, está investigando a situação e afirma que já corrigiu a vulnerabilidade que permitiu que a página de phishing fosse criada.

Portanto, tome bastante cuidado quando chegar a uma página de log-in. Alguns ataques de phishing sofisticados se espalharam recentemente, e obviamente o bom e velho truque de observar o endereço da página não funciona tão bem como funcionou um dia. Se estiver em dúvida, vá sempre diretamente ao site e navegue até a página que quer visitar, ou digite o endereço na barra de URL para evitar qualquer redirecionamento espertinho.

Página de log-in falsa

eoxkh0sksw9ypsw3y5os

Página de log-in legítima

zh4dudmgkxx6thck0wrh

Google Docs

kxgpyid0hye20lj8n1ry

Um truque bem parecido estava afetando o Google Docs até poucas horas atrás. Ele usava uma URL do google.com e a criptografia SSL do Google, e, assim, era bem difícil detectar que era um golpe.

A partir de um email, usuários eram direcionados a uma página de log-in falsa do Google que era idêntica à real. Segundo Nick Johsnson, da Symantec, os golpistas criaram uma página dentro de uma conta do Google Drive, marcaram como pública, enviaram o arquivo para ela, e então usaram o recurso de preview do Google Drive para torná-la publicamente acessível.

Ao entrar com as informações, você era enviado para o Google Docs reais – mas suas credenciais eram enviadas para um servidor comprometido. Felizmente, o Google já corrigiu o erro. Mas nunca é demais lembrar que devemos tomar muito cuidado para não cair em golpes na internet. 

 
 
Fonte: Gizmodo

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar