Mesmo com o passar do tempo, o phishing continua sendo uma armadilha eficaz muito utilizada pelos cibercriminosos que buscam roubar informações de usuários desprevenidos. Hoje analisaremos um dos truques desta ameaça que é bem comum: o uso de URLs falsas. Como conseguem fazer isso?

Por trás da camuflagem

Um truque particularmente comum (mas também um claro indicador de sua intenção maliciosa, quando descoberto) é uma URL integrada que parece legítima, mas que na realidade foi modificada para esconder o destino real. Os endereços URL podem dissimular-se de muitas formas, embora os navegadores modernos se atualizem para combater muitas dessas antigas técnicas de camuflagem. Caso observe o código fonte de um email em HTML ou, inclusive, passe o cursor sobre a URL, e perceba que o nome aparente do site não coincide com a URL de destino que aparece no navegador, já considere isso bastante suspeito.

Muito suspeito, mas isso não é motivo para conclusões: grandes organizações, inclusive os bancos mais importantes, usam vários domínios com diversos propósitos, chegando a subcontratar diversos serviços, como os de email ou mesmo de empresas externas cujos domínios são totalmente diferentes do provedor. Infelizmente, esta é uma das práticas que facilitam a vida dos golpistas, no entanto, esta prática está muito enraizada nas empresas modernas para esperar que deixem de utilizá-la a curto prazo.

Estas são algumas técnicas utilizadas pelos criminosos e criadores de spam:

  • Usar um domínio que seja parecido com o endereço conhecido

…mas que seja apenas e discretamente diferente. Um exemplo simples seria algo como IIoydsbank.com, onde substitui os dois “eles” do início por dois “is” em maiúsculo. Uma variante comum na atualidade é usar um homógrafo: no grupo de caracteres do Unicode há muitos semelhantes a outros em uma simples visualização (ao menos em algumas fontes), mas para o propósito de identificar um endereço web são completamente diferentes.

Na seguinte representação do domínio da ESET: “welivesecurity.com”, ωϵІіѵєѕєсᴜᴦіțу.ϲοᶆ, nenhum dos caracteres é na realidade o caractere de US-ASCII aparentemente. Rodeado de caracteres latinos padrão, a palavra se vê bastante estranha (em especial porque o sistema CMS não me dá muita flexibilidade para modificar o tamanho ou o conjunto de caracteres), mas o que aconteceria se apenas um desses fosse diferente com uma letra e um tamanho cuidadosamente escolhidos? Por exemplo, welivesecurity.cοm (neste caso, a “o” na realidade é um ômicron).

  • A técnica do typosquatting

A técnica do typosquatting se baseia em obter nomes de domínios com erros tipográficos característicos que as vítimas podem chegar a escrever acidentalmente quando tentam acessar ao domínio real: por exemplo, wellsfurgo.com.

Sem dúvida, o phishing não é a única razão para realizar este tipo de ataque. De fato, um banco (ou qualquer outra empresa) pode tentar comprar a maior quantidade de nomes de domínio possível que possam ser utilizados pelos golpistas e outros malfeitores, incluindo nomes com erros tipográficos, mas é quase impossível adivinhar todas as variantes.

Também existem os nomes que parecem convincentes porque incluem o nome do banco, mas o banco não pensa em reservar: endereços de URL como meu[nomedobanco].com o meu[nomedocartãodecrédito].com são muito usados, mas são todos legítimos?

  • É perfeitamente possível “alterar” um endereço URL

De fato, isso pode ser feito de muitas formas para que se pareça com o endereço real, mas caso seja dado um clique, você poderá ser levado para um site malicioso. Este é um exemplo muito simples: nice-site.co.uk. Outra técnica para encobrir um link malicioso é configurar uma série de redirecionamentos por meio de um site aparentemente inofensivo para outros que não são.

É possível (e comum) que um site legítimo esteja comprometido de alguma forma para incluir links maliciosos. Não é necessário que o site esteja “infectado” para que o golpista introduza um redirecionamento alternativo de forma deliberada.

  • Esconder a URL

Esta técnica bem comum consiste em usar um serviço de URL curta, incluindo encurtadores de URL legítimos como TinyURL, bit.ly, t.co, entre outros. Os encurtadores de URL são excelentes para serviços de microblogging como Twitter; no entanto, como em geral não se pode ver a URL de destino (de forma antecipada), se corre certo risco.

Não se pode ter certeza que os serviços de encurtamento de URL como bit.ly e TinyURL te redirecionarão à sites web confiáveis. De fato, são muito comuns os tuits de spam que contém um link curto para um site de spam ou sem dúvida para conteúdo malicioso. No entanto, você deve aprender como proteger-se de link encurtados e compostos sem dar clique.

  • URL encurtada de forma desnecessária

O risco ainda é maior quando você encontra um link encurtado em uma mensagem que recebe por email, mensagens instantâneas ou outros. Vale a pena lembrar que, para mensagens que não estão restringidas ao máximo de 160 caracteres como a mensagem de texto SMS (por exemplo, o Twitter reserva 20 caracteres para o endereço do usuário, por isso, o tamanho máximo de um tuit é 140 caracteres), em poucas ocasiões há necessidade de cortar muito o tamanho da mensagem.

Por outro lado, uma URL encurtada em mensagens sem restrições de longitude (ou em um artigo de um blog ou uma mensagem do Facebook) dá para pensar que pode estar escondendo algo indesejado. No entanto, não é sempre o caso. Por exemplo, não é incomum que serviços como Tweetdeck publiquem uma mensagem única não apenas em várias contas de Twitter como também no Facebook. Neste caso, também aparecerá no Facebook um link para o Twitter automaticamente encurtado.

De qualquer forma, entre as medidas de precaução que você pode tomar, se encontra a utilização do LongURL, que permite ver a versão expandida de uma URL encurtada antes de clicar no link. TinyURL permite fazer o mesmo apenas para endereços encurtados com tinyURL. No entanto, longurl.org é capaz de expandir endereços URL de uma longa lista de outros encurtadores de URL.

Links perigosos e anexos duvidosos

Às vezes, o perigo real reside no anexo, que pode ser algum tipo de trojan ou conter links maliciosos que não estão presentes na mensagem. O software de segurança costuma ser muito cauteloso com os anexos e é provável que pretenda bloquear todos, o que é bastante certo, mas pouco conveniente para nós.

Apesar que um bom software de segurança é muito mais efetivo do que os setores da concorrência na indústria da segurança queiram pensar, os malfeitores continuam buscando novas aproximações para inserir malware de forma inadvertida para a vítima e na própria solução de segurança.

Você pode acreditar que o macro malware é coisa do passado, mas não é exatamente o caso. De fato, há poucos meses vimos uma campanha com MS Office e faturas de Adobe. O malware direcionado a setores específicos e os chamados ataques APT continuam usando documentos no lugar de inequívocos códigos de programação como vetores de ataque, e se sabe que o malware não direcionado usa enfoques semelhantes, embora os produtos de segurança detectem a maior quantidade de malware específico em uma etapa inicial.

Não entre em pânico, nem tome decisões de forma imediata

Uma das técnicas utilizadas pelos usurpadores de identidade é apresentar um “problema” que deve ser resolvido de forma urgente fazendo login em sua conta de um serviço (faça login no prazo de 24 horas ou sua conta será encerrada por razões de segurança”, por exemplo).

Essa variação de uma conhecida estratégia de vendas (“a oferta apenas é válida por este dia!”) possui o propósito de fazer com que o usuário entre em pânico para responder o quanto antes possível. Além de aumentar a pressão sobre a vítima, também funciona para proveito do vigarista, que em geral precisa de uma resposta urgente antes que as agências responsáveis pela segurança entrem em ação, ou mesmo antes que o software de segurança comece a detectar, identificar e bloquear uma URL malicioso, e assim por diante.

É por isso que não se deve deixar levar pela pressão, analise o link ou anexo para assim identificar se o conteúdo é realmente suspeito ou não.

Leia também: Como reconhecer um phishing?