Dias atrás recebi um spam sobre alterações na minha conta corrente. Mesmo sabendo tratar-se de um e-mail de phishing resolvi entrar no site para checar os avanços no meio dos bankers. Em termos de layout o site estava bem feito, mas o módulo G-buster, antes que eu pudesse digitar qualquer coisa, redirecionou para o site verdadeiro do Banco do Brasil.
 |
| Página de phishing encontrada |
Segundo o site da Gas Tecnologia, G-Buster Browser Defense é uma solução desenvolvida para blindar e defender o Internet Banking contra fraudes e violação da privacidade de seus usuários. Utiliza tecnologias de detecção comportamental e resposta automática para impedir que páginas clonadas iludam usuários, programas espiões e códigos maliciosos sejam executados durante qualquer transação.
Intrigado com o funcionamento resolvi fazer alguns testes para entender os mecanismos do plugin. Para fins de pesquisa copiei o site para meu servidor web e verifiquei que o G-Buster redirecionava para o site verdadeiro do banco.
Esta página falsa em particular era constituída de duas imagens e campos de entrada sobrepostos nas imagens. Meu primeiro teste foi retirar todas as imagens utilizadas na página falsa, deixando apenas os campos de entrada de dados. Neste teste o G-Buster não redirecionou. Isso me levou a acreditar que a detecção de site falso reside na análise das imagens e não na disposição dos componentes.
No segundo teste deixei apenas a imagem de baixo, retirando o cabeçalho da página. O plugin nem se mexeu. Depois inverti o teste, deixando o cabeçalho e tirando a imagem de baixo. Desta vez o plugin redirecionou para a página verdadeira. Retirando os componentes e deixando apenas a imagem de cabeçalho o plugin não redirecionou para a página correta.
 |
| Mesmo sem uma imagem, plugin redireciona para o site original |
O teste indica que a identificação de página falsa se daria a partir da imagem de cabeçalho da página juntamente com os campos de entrada.
No próximo teste movi o logotipo da empresa para o lado oposto da página. O plugin identificou sem problemas e redirecionou corretamente. Como próximo teste resolvi recortar o logotipo do banco, deixando um espaço em branco, já que a idéia lógica de identificação seria pelo logotipo da empresa. Desta vez o plugin não identificou como uma página falsa.
Raciocinando sobre este comportamento conclui-se que o plugin faz uma análise sobre a página, identificando campos de entrada e logotipo do banco. Caso o endereço seja desconhecido, os campos de entrada estejam presentes e o logotipo também, o plugin redireciona para o site original.
 | |
| Página simples que o plugin identifica como falsa |
Este teste pode ser comprovado criando uma página que contenha apenas o logotipo do banco e três campos de entrada (sendo um deles do tipo 'password'). O plugin redireciona neste caso.
Com esta informação em mãos resolvi, como último teste, girar 180 graus o logotipo do banco. A mudança inverte o logotipo deixando as cores mais escuras em cima e as mais claras embaixo. O plugin não redirecionou para página correta. A mudança no logotipo enganaria facilmente 90% dos usuários.
 |
| Página com logo invertido. Plugin não identifica como falsa e não rediciona |
O funcionamento do plugin baseia-se em comparação do logotipo do banco juntamente com quantidade de campos de entrada e o tipo deles.
 |
| Diferença entre os logos. |
Infelizmente a análise da imagem é falha em alguns pontos, mas é de fácil solução pelo fabricante. A empresa já foi contata sobre este problema
