Cristoffer Leite, mestrando em ciência da computação na UnB (Universidade de Brasília), desenvolveu um script para lotar a base de dados de cibercriminosos que propagam o phishing. O Brasil é o país que mais sofre com golpes de phishing no mundo, de acordo com dados da Kaspersky, o que torna uma ação como essas uma “bala de prata” contra ações específicas.
O que é phishing? Phishing é um dos métodos de ataque mais antigos, já que “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
“Criei um script de poucas linhas em Python que automatiza o envio desses formulários usando números aleatórios, porém válidos”
Ao montar um site falso, o criminoso recebe os dados de vítimas em formulários. O script de Cristoffer serve para preencher esses formulários com dados aleatórios, gerando um “caminhão de lixo” para o cibercriminosos interpretar e esconder os dados reais de uma vítima que tenha caído no golpe.
“Dois dias atrás recebi essa mensagem dizendo que minha conta bancária havia expirado e pedindo que eu entrasse em um link pra atualizar meus dados. Obviamente uma tentativa de scam, então nem preocupei muito, mas fui lá olhar a página dos caras”, escreveu o mestrando. Depois de ver a quantidade de dados que eles pedem, eu comecei a pensar sobre quanta gente cai nesse tipo de golpe. Porque pra mim pode parecer um golpe meio óbvio, mas pra quem não mora na internet como eu deve ser bem real. Então tive uma ideia”.
Cristoffer explica que entrou no site falso e pegou todos os formulários em branco. “Criei um script de poucas linhas em Python que automatiza o envio desses formulários usando números aleatórios, porém válidos. A ideia é encher a base dados deles com lixo válido a ponto de eles não identificarem o que é real. O site caiu depois de duas horas do meu script rodando”, disse no Twitter.
Após notar que o site falso e cheio de lixo foi rapidamente tirado do ar pelos cibercriminosos, o mestrando alterou o script para “inflar aos poucos”, embaralhando ainda mais os dados recebidos. “E é isso crianças, espero que os parentes de vocês com menos conhecimento sobre computadores não tenham as senhas roubadas. Boa tarde”, finalizou.Ver imagem no Twitter
Contra-Atacando Scams – A Thread?
Dois dias atrás recebi essa mensagem dizendo que minha conta bancária havia expirado e pedindo que eu entrasse em um link pra atualizar meus dados. Obviamente uma tentativa de scam, então nem preocupei muito, mas fui lá olhar a página dos caras74515:03 – 8 de jun de 2019324 pessoas estão falando sobre issoInformações e privacidade no Twitter Ads
Como se proteger
Recebeu algum email, foto de promoção ou mensagem e ficou na dúvida? Não interaja com ele. Busque sempre os canais oficiais do serviço por conta própria e seja proativo ao entrar em contato. Sempre desconfie de mensagens alarmistas que chegam em seu email e WhatsApp.
