Um ataque de phishing bem-sucedido usa truques para enganar suspeitos inconscientes, revelando detalhes pessoais ou clicando em um link malicioso. A complexidade dos ataques de phishing também se fortaleceu ao longo dos anos. E enquanto o simples e-mail com o logotipo da empresa falsa ainda funciona, os golpistas estão indo mais longe para implementar seus golpes.
A última versão do livro de golpistas de phishing é a falsificação de URL - uma URL parecida com uma que você geralmente confia. Mas como um scammer faz a URL parecer a mesma? E como você pode evitar ser apanhado? Vamos dar uma olhada.
Nomes de Domínio Internacional: Uma Breve História
Para entender como um scammer falsifica uma URL, você precisa entender um pouco mais sobre como os nomes de domínio funcionam.
Até 2009, os URLs podiam incluir apenas as letras latinas de a a z, sem acentos, glifos ou quaisquer outros símbolos. A Corporação da Internet para Atribuição de Nomes e Números (ICANN), uma organização sem fins lucrativos que mantém bancos de dados vitais O que as extensões de domínio URL representam e por que são necessárias Quais extensões de domínio URL representam e por que são necessárias? que apenas sites .com, .org e .net. O mundo dos domínios de alto nível explodiu há alguns anos. Mas o que é um TLD? Vamos descobrir. Leia Mais intrínseco ao funcionamento da internet, mudou este sistema. Os usuários de internet agora podiam registrar URLs usando uma vasta gama de scripts alternativos, incluindo grego, cirílico e chinês, bem como caracteres latinos contendo sotaques e muito mais.
Há uma boa razão para essa mudança. À medida que a Internet se expande, os dados demográficos dos usuários mudam. Por exemplo, de 2009 a 2017, o número de usuários da Internet na América do Norte cresceu de 259 milhões para 320 milhões, um aumento de 23%. Ao mesmo tempo, o número de usuários da Internet na Ásia cresceu de 790 milhões para 1, 938 bilhões, um aumento de 145%.
À medida que a América do Norte e uma grande parte do mercado europeu se dirigem para a saturação, o resto do mundo está apenas entrando em funcionamento, e são essas linguagens e alfabetos que estão moldando a direção da internet.
Scripts Permitir falsificação de URL
A introdução de uma ampla gama de novos scripts para o registro de domínio de URL foi uma nova avenida de ataque para os golpistas. Também conhecido como um ataque de nome de domínio homográfico, os golpistas registram URLs usando caracteres não latinos que são exatamente iguais aos seus equivalentes regulares.
Vamos usar o URL do makeuseof.com como exemplo. O URL normal usa caracteres latinos padrão. Mas podemos fazer algumas mudanças incrivelmente sutis na URL usando caracteres não padrão. Na verdade, desta vez, o makeuseof.com é escrito de forma totalmente diferente. Como?
Eu substituo o latim "a" (U + 0041, identificador Unicode do personagem) com um "a" (U + 0430) do alfabeto cirílico, e o latim "o" (U + 006F) com o pequeno Omicron (U + 03BF) do alfabeto grego. Observe a diferença? Claro que não. E é exatamente por isso que o spoofing de URL funciona. A introdução de letras homográficas (visualmente semelhantes) ao URL original permite que um possível scammer registre o URL do makeuseof.com.
Combine a URL falsa com um certificado HTTPS roubado e um scammer pode se passar pelo mesmo site em que você está lendo este artigo (espere… este é o site real?).
Outras variantes
O URL do makeuseof.com é um excelente exemplo porque possui dois caracteres homográficos. Em outras ocasiões, os golpistas substituem letras semelhantes que também incluem acentos, glifos, diacríticos e muito mais. Vamos usar o URL do makeuseof.com novamente, mas desta vez usando uma gama maior de caracteres substitutos.
Para ilustrar o ponto, incluí algumas modificações de caracteres bastante óbvias no exemplo acima. É assim que nossa URL falsa aparece na omnibox do Google Chrome também.
Se destaca, certo? Se o URL aparecer como um link em um email, alguns usuários não perceberão a diferença. O mesmo pode ser dito da barra de status do navegador que visualiza o URL que você está prestes a clicar. É pequeno e um pouco fora da vista, então você pode não notar um URL com diferenças mais sutis do que o nosso exemplo.
Punycode
Você não precisa se tornar uma vítima. Alguns navegadores modernos já estão tomando medidas para impedir que usuários visitem sites semelhantes a URLs. Chrome, Safari, Opera e Microsoft Edge, todos têm mitigações no lugar.
O site de Brian Krebs tem um ótimo exemplo dessa tática de mitigação, onde uma versão discreta mas falsa do ca.com realmente resolve o xn--80a7a.com .
Essa tradução é conhecida como “Punycode” e muitos navegadores usam esse formato de codificação especial para fornecer proteção direta contra ataques de phishing homógrafos. O Punycode essencialmente bloqueia o conjunto de caracteres do navegador para um conjunto ASCII básico contendo az, AZ e 0-9 (também conhecido como a regra LDH, para L etters, D igits, H yphens).
Quer ver como o seu website é moldado? Confira este verificador de domínio que o Hold Security desenvolveu. Estale seu domínio e o domínio de nível superior correspondente (como .com ou .org) na pesquisa e pronto. Felizmente para nós, não há imitadores do makeuseof.com na internet - mas há 186 variações possíveis se alguém quiser imitar o site.
Typosquatting
Os ataques de phishing homógrafos de nome de domínio internacionalizados não são tão novos assim. Eles estão aumentando em notoriedade porque os golpistas estão fazendo melhor uso de seu conjunto de ferramentas disponível. O ataque de homógrafos é realmente muito semelhante a outro esquema de phishing de domínio: Como proteger-se desses ataques de engenharia social Quais técnicas de engenharia social um hacker usaria e como você se protegeria deles? ? Vamos dar uma olhada em alguns dos métodos mais comuns de ataque. Consulte Mais informação .
Typosquatting é a prática de registrar uma enorme quantidade de nomes de domínio comumente incorretos e hospedar conteúdo malicioso ou um portal de login falso para usuários desavisados. Por exemplo, quantas vezes você digitou rapidamente “Amozon” ou “Facebok”? Na verdade, sites maiores como esse às vezes explicam erros ortográficos, e você vai acabar no lugar certo ... na maioria das vezes. Você deve permanecer vigilante, no entanto.
Mantendo-se seguro e evitando URLs falsificados
A localização de uma URL manipulada ou adulterada vem com seu próprio conjunto de dificuldades. Além disso, se o URL malicioso tiver um certificado HTTPS “legítimo” O que é um certificado de segurança de site e por que você deve se importar? O que é um certificado de segurança do site e por que você deve se importar? Leia mais, torna a detecção um pouco mais difícil. Mas você não precisa lutar sozinho.
Como mencionado anteriormente, o seu navegador tenta atenuar esse problema já forçando todos os URLs a aderirem ao Punycode. Fora do navegador, no entanto, você está mais ou menos voando sozinho - mas aqui estão algumas dicas, no entanto.
- E - mails : não clique em links dentro de e-mails. Você deve sempre verificar onde está o link que está prestes a receber, mesmo que seja de alguém em quem você confia.
- Cliente de e-mail : Dependendo do seu cliente de e-mail, você pode ter a opção de desativar completamente os links nos e-mails recebidos; alternativamente, aumentando o nível de filtro de lixo eletrônico Como evitar lixo eletrônico Outlook e desordem de e-mail Como evitar lixo eletrônico do Outlook e desordem de e-mail Se você se esforçar para passar seus e-mails, você vai adorar esses recursos do Outlook. Eles podem ajudá-lo a filtrar e priorizar todos os e-mails recebidos. Leia mais removerá uma quantidade significativa de emails maliciosos recebidos.
- Verificação de links : use um verificador de links se não tiver certeza. Por exemplo, você recebe um link suspeito por email. Em vez de clicar nele, copie-o e cole-o em um desses verificadores de cinco links para validá-lo. 5 Sites rápidos que permitem verificar se os links estão seguros 5 Sites rápidos que permitem verificar se os links estão seguros Ao receber um link, você deve verifique se não é uma fonte de malware ou uma frente para phishing - e esses verificadores de links podem ajudar. Consulte Mais informação . O mesmo vale para suas contas de mídia social.
- Mídia social: semelhante ao seu e-mail, não clique em qualquer link que apareça no seu feed.
- Navegador: mantenha seu navegador atualizado. Uma atualização para o Chrome e o Firefox em 2017 alterou repentinamente o processo de codificação do Punycode e tornou os dois navegadores temporariamente vulneráveis a um ataque de homógrafos.
E, como sempre, a educação quanto às inúmeras ameaças de segurança que enfrentamos on-line 6 Cursos gratuitos de segurança cibernética que manterão sua segurança on-line 6 cursos gratuitos de segurança cibernética que o manterão seguro on-line Intrigado com a segurança on-line? Confuso sobre roubo de identidade, criptografia e como é seguro fazer compras on-line? Nós compilamos uma lista de 6 cursos gratuitos de segurança cibernética que explicarão tudo, prontos para serem executados hoje! Leia mais é a melhor tática de mitigação de todos. Uma vez que você começa a perceber algumas das atividades on-line maliciosas mais óbvias acontecendo ao seu redor, você está trabalhando imediatamente de forma muito mais segura .