Muitos e-mails fraudulentos são dolorosamente óbvios para usuários da web experientes. Erros de ortografia, cenários absurdos e anexos duvidosos geralmente são sinais claros de travessura.
Na realidade, porém, nem todas as tentativas de phishing são tão flagrantes e presumir que sim pode levar a uma falsa sensação de segurança. Alguns são tão cuidadosamente elaborados que são capazes de enganar até os usuários mais experientes.
Os emails de phishing são especialmente convincentes quando abusam de algumas das técnicas avançadas que discutimos neste artigo.
Quando pensamos em vulnerabilidades de sites, imagens de hacks em grande escala e violações de dados desastrosas vem à mente. Mas as vulnerabilidades mais comuns são muito mais comuns.
Eles geralmente não resultam na aquisição completa de um site, mas, em vez disso, fornecem aos invasores algum tipo de pequeno vitória, como o acesso a algumas informações privilegiadas ou a capacidade de inserir um pouco de código malicioso em um página.
Certos tipos de vulnerabilidades permitem o aproveitamento do domínio de um site para criar um URL que parece se originar da página do site, mas na verdade está sob o controle do hacker.
Esses URLs “legítimos” são extremamente úteis para golpistas por e-mail porque são mais propensos a contornar os filtros ou escapar da notificação das vítimas.
Redirecionamentos abertos
Os sites geralmente precisam redirecionar os usuários para algum outro site (ou uma página diferente no mesmo site) sem usar um link regular. Um URL de redirecionamento pode ter a forma de:
http://vulnerable.com/go.php? url =Isso pode ajudar as empresas a rastrear dados importantes, mas se torna um problema de segurança quando qualquer pessoa pode usar um redirecionamento para criar um link para qualquer página da web.
Por exemplo, um golpista pode explorar sua confiança de vulnerável.com para criar um link que realmente o envia para evil.com:
http://vulnerable.com/go.php? url = http://evil.comRedirecionar na Pesquisa Google
A pesquisa do Google tem uma variante desse problema. Cada link que você vê em uma página de resultados de pesquisa é, na verdade, um redirecionamento do Google que se parece com isto:
https://www.google.com/url?& ved =& url =& usg = Isso os ajuda a controlar os cliques para fins de análise, mas também significa que qualquer página indexada pelo Google, na verdade, gera um link de redirecionamento do próprio domínio do Google, que pode ser usado para phishing.
Na verdade, isso tem já foi explorado várias vezes em liberdade, mas o Google aparentemente não considera uma vulnerabilidade suficiente para remover a funcionalidade de redirecionamento.
Cross-Site Scripting
Cross-site scripting (comumente abreviado para XSS) ocorre quando um site não limpa adequadamente a entrada de usuários, permitindo que hackers insiram código JavaScript malicioso.
JavaScript permite que você modifique ou até mesmo reescreva completamente o conteúdo de uma página.
O XSS assume algumas formas comuns:
- XSS refletido: O código malicioso faz parte da solicitação para a página. Isso pode assumir a forma de um URL como http://vulnerable.com/message.php?
- XSS armazenado: O código JavaScript é armazenado diretamente no próprio servidor do site. Nesse caso, o link de phishing pode ser um URL totalmente legítimo, sem nada suspeito no próprio endereço.
Relacionado: Como os hackers usam scripts entre sites
Não seja enganado
Para evitar ser enganado por um desses links obscuros, leia com atenção o URL de destino de todos os links que você acessar em seus e-mails, prestando atenção especial a qualquer coisa que possa parecer um redirecionamento ou JavaScript código.
Para ser justo, isso nem sempre é fácil. A maioria de nós está acostumada a ver URLs dos sites que visitamos com um monte de “lixo” adicionado após o domínio, e muitos sites usam redirecionamento em seus endereços legítimos.
A codificação de URL é uma forma de representar caracteres usando o sinal de porcentagem e um par de caracteres hexadecimais, usados para caracteres em URLs que podem confundir seu navegador. Por exemplo, / (barra) é codificado como % 2F.
Considere o seguinte endereço:
http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6DDepois que a codificação do URL é decodificada, ela é resolvida para:
http://vulnerable.com/go.php? url = http://evil.comSim, é um redirecionamento aberto!
Existem algumas maneiras pelas quais um invasor pode tirar vantagem disso:
- Alguns filtros de segurança de e-mail mal projetados podem não decodificar corretamente os URLs antes de digitalizá-los, permitindo a passagem de links claramente maliciosos.
- Você, como usuário, pode ser enganado pela forma estranha do URL.
O impacto depende de como seu navegador lida com links com caracteres codificados por URL. Atualmente, o Firefox decodifica totalmente todos eles na barra de status, o que atenua o problema.
O Chrome, por outro lado, os decodifica apenas parcialmente, mostrando o seguinte na barra de status:
Vulnerable.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.comEssa técnica pode ser particularmente eficaz quando combinada com um dos métodos acima para gerar um link malicioso de um domínio confiável.
Como evitar ser enganado: Mais uma vez, inspecione cuidadosamente os URLs de quaisquer links que encontrar em e-mails, prestando atenção especial aos caracteres codificados por URL em potencial. Observe todos os links com muitos sinais de porcentagem. Em caso de dúvida, você pode usar um Decodificador de URL para ver a verdadeira forma do URL.
Técnicas avançadas para ignorar filtros
Algumas técnicas visam especificamente enganar filtros de e-mail e software anti-malware, e não as próprias vítimas.
Modificando logotipos de marcas para ignorar filtros
Os golpistas costumam se passar por empresas confiáveis, incluindo seus logotipos em e-mails de phishing. Para combater isso, alguns filtros de segurança irão verificar as imagens de todos os e-mails recebidos e compará-los com um banco de dados de logotipos de empresas conhecidas.
Isso funciona bem se a imagem for enviada inalterada, mas muitas vezes fazer algumas modificações sutis no logotipo é o suficiente para contornar o filtro.
Código ofuscado em anexos
Um bom sistema de segurança de e-mail verifica todos os anexos em busca de vírus ou malware conhecido, mas geralmente não é muito difícil ignorar essas verificações. A ofuscação de código é uma maneira de fazer isso: o invasor modifica o código malicioso em uma bagunça elaborada e emaranhada. A saída é a mesma, mas o código é difícil de decifrar.
Aqui estão algumas dicas para evitar ser pego por essas técnicas:
- Não confie automaticamente nas imagens que você vê nos e-mails.
- Considere bloquear totalmente as imagens em seu cliente de e-mail.
- Não baixe anexos a menos que você confie totalmente no remetente.
- Saiba que mesmo passar por uma verificação de vírus não garante que um arquivo esteja limpo.
Relacionado: Os provedores de e-mail mais seguros e criptografados
Phishing não vai a lugar nenhum
A verdade é que nem sempre é fácil detectar tentativas de phishing. Os filtros de spam e o software de monitoramento continuam a melhorar, mas muitos e-mails maliciosos ainda passam despercebidos. Mesmo usuários avançados experientes podem ser enganados, especialmente quando um ataque envolve técnicas particularmente sofisticadas.
Mas um pouco de consciência ajuda muito. Ao se familiarizar com as técnicas dos golpistas e seguir as boas práticas de segurança, você pode reduzir suas chances de ser uma vítima.
Está se sentindo estressado com possíveis ataques cibernéticos? Veja como as boas práticas de segurança podem ajudar a promover a atenção plena.
- Segurança
- Phishing
- Segurança Online
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.
