Pharma Hack em Portugal

por David Sopas em 4 de Novembro de 2014 em Artigos com 0 comentários Tweet
online_pharma_portugal

Pharma Hack é um termo associado por especialistas de segurança informática para definir um tipo de ataque muito ligado ao blackhat SEO.
O objetivo do Pharma Hack é efetuar vendas de produtos farmacêuticos (Viagra, Cialis, Zoloft, etc) utilizando sites comprometidos para promover a loja ilegal em resultados no Google. Quanto mais referências houver, mais sobe no rank do Google. Quantos mais sites comprometidos com a referência a esse site, mais este sobe no ranking do Google aumentando a possibilidade de ser encontrado nos motores de busca e por sua vez efetuar mais vendas.

Para quem desconhece, este tipo de atividade criminosa online é muito frequente. Os utilizadores maliciosos comprometem um site e apresentam páginas de venda de fármacos online - geralmente programas de afiliados ligados a redes criminosas de larga escala. É um negócio que atrai muitos utilizadores que têm dificuldades em adquirir produtos farmacêuticos e que preferem correr o risco de comprar algo que pode não ser realmente o que pensam que é.

Estas farmácias online, são geralmente promovidas por diversas vias:

  • Por envio massivo de SPAM (cerca de 250 mil milhões de mensagens por dia - o que equivale a 40% do spam mundial)
  • Por comprometer sites e criar reencaminhamentos
  • Por utilizar spamdexing, onde os utilizadores comprometem um site popular e criam links e palavras referentes ao site malicioso (casos semelhantes já foram divulgados pelo WebSegura.net, como foi no passado nos sites do Governo Civil de Coimbra e no Taguspark)

viagra_email

Em Portugal, numa breve pesquisa no motor de busca Google, é possível reparar na quantidade de sites comprometidos com reencaminhamentos para farmácias ilegais. Nos sites comprometidos é possível encontrar câmaras municipais, sites de universidades, associações, pequenas empresas e sites pessoais.
Muitas das entidades provavelmente nem sequer sabem que estão alojar este tipo de atividade, muito devido ao low-profile destes ataques.
Já encontrei situações em que o reencaminhamento para o site da farmácia era só válido se o tráfego de referência fosse um motor de busca. Ou seja, se um utilizador entrasse diretamente no site afetado não iria ver o ataque.
Por vezes também é possível verificar um controlo por geo-localização em que apenas são permitidos visitantes estrangeiros. Isto é efetuado com limites aplicados à gama de IP nacionais no ficheiro .htaccess. Apenas os visitantes fora dessa gama é poderiam ver o ataque/reencaminhamento.

google_pharma_hack_portugal

Alguns exemplos destes sites de Pharma Hack atualmente presentes em sites comprometidos portugueses:

medshop24.net
canadian-overnite.com
canadian-pharmacy-24.com
canadapharmacy24h.com
hqpills.net
awc-drugstore.com

De referir que muitos destes sites, entre os quais indicados acima, distribuem malware. Mais propriamente supostas atualizações de Flash e payloads Java que incluem software malicioso. Por isso, não devem visitar os websites.

De salientar a referência ao Canadá em alguns domínios. Este país é conhecido pela liberalização na comercialização de determinados medicamentos, que juntamente com preços atrativos, é a escolha perfeita de muitos utilizadores, principalmente oriundos dos EUA. Este país vizinho, onde os produtos farmacêuticos são caros e necessitam quase sempre de prescrição médica, é um dos principais clientes deste tipo de negócios.
Os utilizadores maliciosos sabendo disto, utilizam o nome do Canadá para dar alguma credibilidade ao negócio. No entanto, maioria destes medicamentos são oriundos de países como China, Índia e Paquistão. De referir que estes fármacos, muito provavelmente, não têm qualquer controlo de qualidade e higiene. Existem mesmo relatos de medicamentos comprados nestas lojas online que continham elementos prejudiciais à saúde. Desde vestígios de pó-talco, giz, gasolina, cola, etc…

Dos sites portugueses afetados, é possível observar que muitos são sites Joomla!, WordPress e outros CMS que provavelmente estão desatualizados e alegadamente vulneráveis a intrusões.

O seu site foi comprometido com Pharma Hack?

Ficam aqui algumas dicas, baseadas na minha experiência, para uma possível deteção deste problema:

  • Verificar alterações no código-fonte e/ou a existência de novos ficheiros
  • Verificar os DNS do domínio
  • Estar atento ao .htaccess e os php.ini
  • Em caso de CMS, verificar plugins modificados (em Portugal reparei diversos plugins modificados para integrar os reencaminhamentos para os sites maliciosos)

codigo_frame_pharmacy

No entanto, recomendo sempre o recurso a um profissional da área.

Contatei o Infarmed para obter algumas informações adicionais mas até à data do artigo não obtive quaisquer declarações:

Quais os riscos de saúde para um cidadão que compre medicamentos em lojas ilegais de venda de produtos farmacêuticos?

Informamos que em Portugal, só as farmácias e os locais de venda de medicamentos não sujeitos a receita médica que estejam registados no Infarmed, podem aceitar encomendas de medicamentos através da internet, de forma segura, nomeadamente por se garantir que a dispensa dos medicamentos é feita pelos profissionais habilitados, que o transporte dos medicamentos é feito em condições controladas e que, no ato da entrega, são prestadas as informações necessárias à toma do medicamento.

Mais informamos que o Infarmed não autoriza a importação de medicamentos para uso pessoal, devido a não existir suporte legal e aos possíveis riscos para a saúde dos consumidores, por não estarem garantidas as condições de segurança, qualidade e eficácia exigíveis para um medicamento, quer durante o processo de aquisição, quer durante o próprio transporte.

Assim, os consumidores só podem adquirir medicamentos nas farmácias (comunitárias e hospitalares) e nos locais de venda de medicamentos não sujeitos a receita médica (MNSRM).

O Infarmed tem algum departamento que pesquisa e analisa este tipo de atividade online?

Informamos que a Direção de Inspeção e Licenciamentos deste Instituto, analisa este tipo de atividade online e atua de acordo com as suas competências.

Queria concluir que não encontrei estas lojas ilegais em língua portuguesa. Apenas em inglês, espanhol, alemão, francês e italiano. No entanto, conforme demonstrado neste artigo, Portugal está a servir de catalisador para este tipo de atividade ilícita. É necessário estar atento.

Achaste interessante? Partilha!
    David Sopas
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.
    Tagged: , , , , , , ,

    Que tal participar com o seu comentário?