O Espírito Santo não dá o peixe, ensina a pescar

Já relatamos aqui no Lab casos de phishings em diferentes entidades públicas, algumas com registros reiterados (Sorria, tem pescaria na Bahia, a saga continuafisherei, phishing 2.0, phishing BNDES e phishing BNDES2).

Nosso Sistema de Monitoramento Avançado Persistente detectou novo caso de phishing contra autarquia do governo do Espírito Santo, o Instituto Capixaba de Pesquisa, Assistência Técnica e Extensão Rural (INCAPER) – hospedado na URL http://indicadores.incaper.es.gov.br/YXGsW2y8Lh5PW/Ovoq7xaGpp0He.html.

Phishing

Como é possível observar a página se refere à companhia aérea norte-americana chamada American Airlines, com o objetivo de obter credenciais de acesso para o programa de milhagens da mesma.

Ao executar o comando:

wget -qO- http://indicadores.incaper.es.gov.br/YXGsW2y8Lh5PW/Ovoq7xaGpp0He.html

Obtém-se o seguinte código fonte.

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="refresh" content="0;URL=http://duset.usa.cc/mbox/CM61ZWGQ6.php">
<title>Loading...</title>
<link rel="shortcut icon" href="../favicon.ico" />
<link rel="icon" href="../favicon.ico" />
</head>
<body>
</body>
</html>

O código acima redireciona o usuário para a URL http://duset.usa.cc/mbox/CM61ZWGQ6.php, que, de fato, é quem hospeda o phishing.