Phishing contra o Tesouro Nacional

O endereço correto para o site do Tesouro Nacional é http://www.tesouro.fazenda.gov.br. Todavia, o módulo de monitoramento de phishings de nosso sistema de Monitoramento Avançado Persistente identificou uma fraude no endereço http://www.tesouro.fazenda.gov.br.codip.ml. O endereço falso é parecido com o real e pode induzir o usuário ao erro.

O domínio registrado do phishing é codib.ml, onde o agente malicioso tentou montar uma estrutura de subdomínios que se confunda com o domínio verdadeiro do Tesouro Nacional.

Perceba a diferença destacada: www.tesouro.fazenda.gov.br.codip.ml. Onde codip.ml é o domínio registrado e o final “.ml” é o ccTLD (Country Code Top Level Domain) para a República do Mali.

Como se não bastasse, a página carregada pelo phishing é idêntica ao site real, conforme figuras abaixo:

Ao submeter o domínio para análise no site VirusTotal.com, verifica-se que pelo menos dez antivírus distintos assinalam o endereço como perigoso para o usuário. Veja o relatório aqui.

O domínio www.tesouro.fazenda.gov.br.codip.ml resolve para o endereço IP 31.170.161.128,  que está hospedado nos Estados Unidos. Segundo o VírusTotal.com, esse IP também está associado a vários casos de fraudes, conforme pode ser visualizado aqui

Logo, em casos como esse, basta um pouco de desatenção por parte do usuário para que ele seja direcionado para um endereço errado.