Não se deixe enganar por essas técnicas avançadas de phishing

gurinho

Muitos e-mails fraudulentos são dolorosamente óbvios para usuários da web experientes. Erros de ortografia, cenários absurdos e anexos duvidosos geralmente são sinais claros de travessura.

Na realidade, porém, nem todas as tentativas de phishing são tão flagrantes – e assumir que sim pode levar a uma falsa sensação de segurança. Alguns são tão cuidadosamente elaborados que são capazes de enganar até os usuários mais experientes.

Os emails de phishing são especialmente convincentes quando abusam de algumas das técnicas avançadas que discutimos neste artigo.

Quando pensamos em vulnerabilidades de sites, imagens de hacks em grande escala e violações de dados desastrosas vêm à mente. Mas as vulnerabilidades mais comuns são muito mais comuns.

Eles geralmente não resultam na aquisição completa de um site, mas, em vez disso, fornecem aos invasores algum tipo de pequena vitória, como acesso a algumas informações privilegiadas ou a capacidade de inserir um código malicioso em uma página.

Certos tipos de vulnerabilidades permitem o aproveitamento do domínio de um site para criar uma URL que parece se originar da página do site, mas na verdade está sob o controle do hacker.

Esses URLs “legítimos” são extremamente úteis para golpistas por e-mail porque são mais propensos a contornar os filtros ou escapar da notificação das vítimas.

Redirecionamentos abertos

Os sites geralmente precisam redirecionar os usuários para algum outro site (ou uma página diferente no mesmo site) sem usar um link regular. Um URL de redirecionamento pode ter a forma de:

 http://vulnerable.com/go.php?url=<some url>

Isso pode ajudar as empresas a rastrear dados importantes, mas se torna um problema de segurança quando qualquer pessoa pode usar um redirecionamento para criar um link para qualquer página da web.

Por exemplo, um golpista pode explorar a sua confiança em vulnerável.com para criar um link que realmente o direciona para evil.com :

 http://vulnerable.com/go.php?url=http://evil.com

A pesquisa do Google tem uma variante desse problema. Cada link que você vê em uma página de resultados de pesquisa é, na verdade, um redirecionamento do Google que se parece com isto:

 https://www.google.com/url?<some parameters>&ved=<some token>&url=<site's url>&usg=<some token>

Isso os ajuda a controlar os cliques para fins analíticos, mas também significa que qualquer página indexada pelo Google realmente gera um link de redirecionamento do próprio domínio do Google, que pode ser usado para phishing.

Na verdade, isso já foi explorado várias vezes em estado selvagem, mas o Google aparentemente não considera isso uma vulnerabilidade o suficiente para remover a funcionalidade de redirecionamento.

Cross-Site Scripting

Cross-site scripting (comumente abreviado para XSS) ocorre quando um site não limpa adequadamente a entrada de usuários, permitindo que hackers insiram código JavaScript malicioso.

JavaScript permite que você modifique ou até mesmo reescreva completamente o conteúdo de uma página.

O XSS assume algumas formas comuns:

  • XSS refletido : o código malicioso faz parte da solicitação para a página. Isso pode assumir a forma de um URL como http://vulnerable.com/message.php?<script src = evil.js> </script>
  • XSS armazenado : o código JavaScript é armazenado diretamente no próprio servidor do site. Nesse caso, o link de phishing pode ser um URL totalmente legítimo, sem nada suspeito no próprio endereço.

Relacionado: Como os hackers usam scripts entre sites

Não seja enganado

Para evitar ser enganado por um desses links duvidosos, leia com atenção a URL de destino de todos os links que encontrar em seus e-mails, prestando atenção especial a qualquer coisa que possa parecer um redirecionamento ou código JavaScript.

Para ser justo, isso nem sempre é fácil. A maioria de nós está acostumada a ver URLs dos sites que visitamos com um monte de “lixo” adicionado após o domínio, e muitos sites usam redirecionamento em seus endereços legítimos.

A codificação de URL é uma forma de representar caracteres usando o sinal de porcentagem e um par de caracteres hexadecimais, usados ​​para caracteres em URLs que podem confundir seu navegador. Por exemplo, / (barra) é codificado como % 2F .

Considere o seguinte endereço:

 http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6D

Depois que a codificação do URL é decodificada, ela é resolvida para:

 http://vulnerable.com/go.php?url=http://evil.com

Sim, é um redirecionamento aberto!

Existem algumas maneiras pelas quais um invasor pode tirar vantagem disso:

  • Alguns filtros de segurança de e-mail mal projetados podem não decodificar corretamente os URLs antes de digitalizá-los, permitindo a passagem de links claramente maliciosos.
  • Você, como usuário, pode ser enganado pela forma estranha do URL.

O impacto depende de como seu navegador lida com links com caracteres codificados por URL. Atualmente, o Firefox decodifica totalmente todos eles na barra de status, o que atenua o problema.

O Chrome, por outro lado, os decodifica apenas parcialmente, mostrando o seguinte na barra de status:

 vulnerable.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.com

Essa técnica pode ser particularmente eficaz quando combinada com um dos métodos acima para gerar um link malicioso de um domínio confiável.

Como evitar ser enganado : Mais uma vez, inspecione cuidadosamente os URLs de todos os links que encontrar em e-mails, prestando atenção especial aos caracteres codificados por URL em potencial. Observe todos os links com muitos sinais de porcentagem. Em caso de dúvida, você pode usar um decodificador de URL para ver a verdadeira forma da URL.

Técnicas avançadas para ignorar filtros

Algumas técnicas visam especificamente enganar filtros de e-mail e software anti-malware, e não as próprias vítimas.

Modificando logotipos de marcas para ignorar filtros

Os golpistas costumam se passar por empresas confiáveis, incluindo seus logotipos em e-mails de phishing. Para combater isso, alguns filtros de segurança irão verificar as imagens de todos os e-mails recebidos e compará-los com um banco de dados de logotipos de empresas conhecidas.

Isso funciona bem se a imagem for enviada inalterada, mas muitas vezes fazer algumas modificações sutis no logotipo é o suficiente para contornar o filtro.

Código ofuscado em anexos

Um bom sistema de segurança de e-mail verifica todos os anexos em busca de vírus ou malware conhecido, mas geralmente não é muito difícil ignorar essas verificações. A ofuscação de código é uma maneira de fazer isso: o invasor modifica o código malicioso em uma bagunça elaborada e emaranhada. A saída é a mesma, mas o código é difícil de decifrar.

Aqui estão algumas dicas para evitar ser pego por essas técnicas:

  • Não confie automaticamente em nenhuma imagem que você vê em e-mails.
  • Considere bloquear totalmente as imagens em seu cliente de e-mail.
  • Não baixe anexos, a menos que confie totalmente no remetente.
  • Saiba que mesmo passar por uma verificação de vírus não garante que um arquivo esteja limpo.

Relacionado: Os provedores de e-mail mais seguros e criptografados

Phishing não vai a lugar nenhum

A verdade é que nem sempre é fácil detectar tentativas de phishing. Os filtros de spam e o software de monitoramento continuam a melhorar, mas muitos e-mails maliciosos ainda passam despercebidos. Mesmo usuários avançados experientes podem ser enganados, especialmente quando um ataque envolve técnicas particularmente sofisticadas.

Mas um pouco de consciência ajuda muito. Ao se familiarizar com as técnicas dos golpistas e seguir as boas práticas de segurança, você pode reduzir suas chances de ser uma vítima.