Cristoffer Leite, mestrando em ciência da computação na UnB (Universidade de Brasília), desenvolveu um script para lotar a base de dados de cibercriminosos que propagam o phishing. O Brasil é o país que mais sofre com golpes de phishing no mundo, de acordo com dados da Kaspersky, o que torna uma ação como essas uma “bala de prata” contra ações específicas.
Mas o que é phishing?
Phishing é um dos métodos de ataque mais antigos, já que “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
Ao montar um site falso, o criminoso recebe os dados de vítimas em formulários. O script de Cristoffer serve para preencher esses formulários com dados aleatórios, gerando um “caminhão de lixo” para o cibercriminoso interpretar e, ao mesmo tempo, esconder os dados reais de uma vítima que tenha caído no golpe.
“Dois dias atrás recebi essa mensagem dizendo que minha conta bancária havia expirado e pedindo que eu entrasse em um link pra atualizar meus dados. Obviamente uma tentativa de scam, então nem preocupei muito, mas fui lá olhar a página dos caras”, escreveu o mestrando. Depois de ver a quantidade de dados que eles pedem, eu comecei a pensar sobre quanta gente cai nesse tipo de golpe. Porque pra mim pode parecer um golpe meio óbvio, mas pra quem não mora na internet como eu deve ser bem real. Então tive uma ideia”.
Cristoffer explica que entrou no site falso e pegou todos os formulários em branco. “Criei um script de poucas linhas em Python que automatiza o envio desses formulários usando números aleatórios, porém válidos. A ideia é encher a base dados deles com lixo válido a ponto de eles não identificarem o que é real. O site caiu depois de duas horas do meu script rodando”, disse no Twitter.
Após notar que o site falso e cheio de lixo foi rapidamente tirado do ar pelos cibercriminosos, o mestrando alterou o script para “inflar aos poucos”, embaralhando ainda mais os dados recebidos. “E é isso crianças, espero que os parentes de vocês com menos conhecimento sobre computadores não tenham as senhas roubadas. Boa tarde”, finalizou.
Fonte: TecMundo
Recebeu algum e-mail com conteúdos estranhos, como anexos muito extensos, links ou algum informativo de promoção e ficou na dúvida? Melhor não abrir esses conteúdos ao menos que tenha ciência de que foi solicitado para encaminharem em seu e-mail.
E você ? O que achou dessa “vingança” contra os cibercriminosos ?