Outra onda de phishing está se espalhando entre os usuários do Facebook. Imagine que você receba uma mensagem de outro usuário do Facebook com um link para um maravilhoso aplicativo para o Facebook. Mesmo que a pessoa que envie não seja seu amigo, você decide visitar o link. Em vez de um aplicativo, você vê uma página de login falso do Facebook. Mas aqui está a pegadinha: você não sabe que ela é falsa!

Recentemente, nós encontramos muitos aplicativos para o Facebook que não fazem nada além de redirecionar os usuários para uma página de login falso do Facebook. Você não pode reconhecer que é falso pelo link. O URL do aplicativo é parecido com o http://apps.facebook.com/app_id onde app_id é um número de identificação do aplicativo com 15 dígitos. O link do aplicativo normalmente contém o nome (http://apps.facebook.com/app_name), mas utilizar o ID do aplicativo também é possível.

Quando você clica no link, você vai parar em um dos muitos domínios hospedados em 31.214.222.240, 204.27.56.124, 208.94.240.74 ou 208.94.244.76.

Para convencer os usuários do Facebook de que o site está localizado em ‘facebook.com’, o nível mais baixo dos subdomínios são sempre ‘facebook.com.profile.accounts.login’. O site que você vê não é muito diferente da página de login legítima do Facebook. Além disso, o site falso dá a impressão que quando foi visitado, algo de errado aconteceu e imediatamente você saiu (logoff). Mas se você verificar a sua barra de endereços, você verá que não é a página legítima do Facebook.

Além do URL na barra de endereços há outras pequenas diferenças entre a página falsa de login e a verdadeira. Você pode notar que a página falsa está disponível somente em inglês. Se você tentar clicar em outra língua para alterá-la, nada irá acontecer. Da mesma forma, os links “Forgot your password”, “Help” ou “Developers” no canto direito da página não funcionam. A informação de copyright do Facebook é datada de 2012 em vez de 2013.

Se você não reparou em todos estes sinais e preencheu o seu nome de usuário e senha e tentou efetuar login, você foi redirecionado para http://www.youtube.com. O que aconteceu com o seu nome de usuário e senha?

Nós comparamos o código fonte das páginas de login falso e verdadeiro do Facebook, em especial, a parte do formulário de login. Em vez do arquivo php oficial de login (https://www.facebook.com/login.php), a página falsa utiliza um arquivo php chamado “next.php” que está localizado no servidor dos hackers ou em um serviço de hospedagem gratuito. O arquivo “next.php” permite que os hackers salvem as suas informações de login em um arquivo texto. Depois disso, eles simplesmente analisam este arquivo texto e obtém a sua senha, abrindo as portas para a sua conta no Facebook.

Formulário de login da página legítima do Facebook:

Formulário de login da página falsa (phishing) do Facebook:

A melhor maneira de proteger as suas contas online de ataques de phishing é ser muito cuidadoso onde você escreve a sua senha, sempre verificar o URL na barra de endereços antes de efetuar login e utilizar o avast! Internet Security. Todos os endereços IP mencionados são bloqueados pelo avast! antivírus, bem como todos os domínios onde são hospedados. A página de login falso é detectada com o nome de HTML:Phish-O [Trj].

Links relacionados:

http://www.techgainer.com/what-is-fake-facebook-login-page-and-how-it-is-used-to-hack-facebook-account/