Os ataques tradicionais de phishing têm uma abordagem conhecida: o usuário malicioso envia um e-mail à vítima se passando por uma autoridade ou organização – como um banco ou órgão público – com um link que leva a vítima para um site falso. Geralmente, esse site rouba dados pessoais da vítima, como CPF e números de cartão de crédito.
No entanto, com a sofisticação dos mecanismos de segurança dos navegadores (como o Chrome e o Firefox), extensas listas de sites falsos são compiladas para que, quando o usuário tente acessar um desses sites, o navegador possa impedir e avisar do perigo iminente.
Assim como existe a sofisticação da segurança, também há a sofisticação dos ataques. A mais nova forma consiste em anexar um HTML ao e-mail ao invés de redirecionar o usuário para um site. Quando o usuário fizer o download e abrir esse HTML no navegador, ele estará alocado na máquina do usuário e será ignorado pelos filtros de phishing.
O HTML consiste de um formulário simples – mimetizando a interface do Paypal, por exemplo – que envia uma requisição POST com os dados da vítima para o servidor web do usuário malicioso. E esse servidor não consta na lista de sites perigosos dos navegadores justamente por estar escondido sob um arquivo HTML – ou seja, é um endereço mais difícil de ser reportado, pois exige algum conhecimento técnico para analisar o HTML e obter o endereço.
As informações completas sobre esse tipo de ataque estão no site da M86 Security Labs.