O phishing é um vetor de ataque utilizado por muitos tipos de ameaças cibernéticas (estatais e não-estatais) e de diferentes formas (links maliciosos em serviços de mensageria ou e-mails, páginas falsas) com o objetivo de obter dados pessoais, credenciais de acesso a aplicações, informações bancárias, etc.
Uma das formas encontradas por elementos maliciosos para aumentar as chances de ludibriar as vítimas é a hospedagem de páginas falsas em sites de governo.
No decorrer dessa semana foram mais dois municípios brasileiros foram utilizados como plataforma de phishing para roubar as credenciais de acesso (usuário/senha) a serviços do Google.
Bela Cruz (CE): http://www.belacruz.ce.gov.br/slc/bill/gduc/
Screenshot da URL maliciosa do município de Bela Cruz
Itaguari (GO): https://camaraitaguari.go.gov.br/vv/PROJECT/
Identificamos 490 casos em que sites do governo brasileiro foram utilizados para hospedar páginas falsas.
| Domínio Registrado | Casos de Phishing |
| mg.gov.br | 147 |
| go.gov.br | 120 |
| pe.gov.br | 66 |
| ba.gov.br | 53 |
| sp.gov.br | 29 |
| sc.gov.br | 23 |
| pr.gov.br | 18 |
| rs.gov.br | 5 |
| pb.gov.br | 4 |
| pi.gov.br | 4 |
| rj.gov.br | 3 |
| mt.gov.br | 3 |
| am.gov.br | 2 |
| rr.leg.br | 2 |
| ma.gov.br | 2 |
| sdh.gov.br | 2 |
| ce.gov.br | 2 |
| sp.leg.br | 1 |
| saude.gov.br | 1 |
| pa.gov.br | 1 |
| df.gov.br | 1 |
| al.gov.br | 1 |
Distribuição de hospedagem de phishing
Embora sites de governo sejam alvos chamativos pela sua reputação, entidades privadas sem fins lucrativos (em geral identificadas pelo “.org”) também são alvejadas para hospedagem de páginas de falsas para phishing por agentes maliciosos. Nos últimos dois anos foram identificados 1403 casos de phishing nesse tipo de domínio brasileiro (“org.br”).
Dois exemplos de páginas falsas (serviços do Google) identificadas nas últimas horas em domínios “org.br”:
Cruz Vermelha do Brasil: http://cvbb.org.br/cursos/assets/ft/nD/
Screenshot da URL maliciosa da Cruz Vermelha do Brasil
ONG Renascer da Esperança: http://renascerdaesperanca.org.br/gtexx/index.php
Os exemplos demonstrados e os quantitativos citados acima demonstram que o combate ao phishing é uma tarefa conjunta entre os usuários e administradores de rede de governo.