Invasores adicionaram um script no site da operadora nesta terça feira dia 8 para distribuir o virus, a página ficou mais de 4 horas infectada.
Os invasores fizeram com que os visitantes recebessem um aviso para executar um suposto plugin. Se a execução do “plugin” fosse confirmada, o computador do internauta era infectado por um cavalo de troia capaz de roubar senhas bancárias.
A empresa divulgou a seguinte nota: a Vivo informa que os usuários que clicaram numa falsa janela de ‘warning security’ para execução de arquivo, é que podem ter tido o seu computador infectado. Portanto, a recomendação da Empresa é que usuários que tenham acessado o portal www.vivo.com.br no período de 16h07 de 08.09.2009 até às 00h50 de 09.09.2009, e que tenham executado o falso arquivo, evitem acessar sites de bancos até que façam uma verificação de segurança em seu computador".
O golpe foi descoberto por um administrador de redes da Unicamp, Miguel Di Ciurcio Filho que visitou o portal da Vivo às 20h da terça e executou o falso plugin, que acabou falhando pois ele estava usando Sistema operacional Linux.
erca de 30 minutos depois, notou alterações na pasta de usuário e verificou que a origem foi o portal da operadora. Como o ataque usou o Java, que é multiplataforma, o código tentou criar no Linux os mesmos arquivos do que no Windows, mas falhou.
O código responsável por disseminar a praga digital foi retirado do ar pouco depois da meia-noite, segundo comunicado da operadora. Não é possível saber quando exatamente ele foi colocado na página, mas os criminosos deixaram um contador de vítimas, segundo o qual 88 mil internautas foram expostos ao instalador do cavalo de troia.
Para roubar as senhas, o virús editava os arquivos Hosts do Windows para redirecionar endereços de banco a um servidor malicioso que hospeda páginas clonadas.
Após analisar o código malicioso, Ciurcio enviou um e-mail para os contatos de rede da Vivo e para a GTS-L, uma lista de discussão brasileira especializada em incidentes de segurança. Em seguida, publicou a mensagem enviada em seu blog “O SysAdmin”, juntamente com fotos dos sites falsos para os quais usuários infectados são redirecionados.
O administrador de redes disse ao G1 também ter tentado contato com o atendimento telefônico da operadora para alertar sobre o problema no site, mas não teve sucesso. “Liguei no *8486 da Vivo e a atendente não conseguiu entender o que estava acontecendo. Ela achou que minha máquina estava com vírus e não tinha para quem passar”.
Golpes como esse não são novidade na internet brasileira. Os sites do São Paulo FC e da também a operadora oi foram vítimas de ataques idênticos. Os três usaram um recurso chamado Java Web Start para dar apenas uma única chance para o internauta impedir o download do vírus.
Quem foi infectado deve tentar atualizar o antivírus e fazer um exame completo no disco. Verificar manualmente o arquivo HOSTS para zerá-lo também é uma alternativa.
Fonte: G1- Globo
Nenhum comentário:
Postar um comentário