Criminosos enganam internautas com domínios falsos da Netflix, Apple e outros
Por Ramon de Souza |
Imagine a seguinte situação: você recebe um email da Netflix informando que não foi possível realizar a cobrança da mensalidade em seu cartão de crédito. Preocupado, você clica no botão informado e insere seus dados de login. Uma rápida conferida na barra de endereços do navegador revela um domínio aparentemente legítimo, mas, após fornecer suas credenciais no formulário, seus dados da conta acabam sendo roubados.
- Golpistas se passam por pesquisadores do Datafolha para sequestrar WhatsApp
- Golpistas estão tentando roubar canais no YouTube; saiba como se proteger
- Cuidado! Sites se passam por Netflix e Disney+ para roubar dados de usuários
Afinal, o que aconteceu? Simples: você foi vítima de uma armadilha criminosa conhecida como cybersquatting, a “arte” de registrar domínios que, a uma olhada rápida, parece inofensivo. Criminosos usam tal técnica para disseminar malwares, criar páginas falsas se passando por aplicativos e ecommerces de prestígio ou até mesmo elaborar campanhas de phishing, enviando falsos emails de suporte.
Pesquisadores da Unit 42, unidade de pesquisas da Palo Alto Networks, divulgaram recentemente um novo relatório que revela algumas estatísticas assustadoras sobre cybersquatting. Segundo os especialistas, só em dezembro de 2019, foram identificados nada menos do que 13,857 domínios fraudulentos (uma média de 450 registros por dia), sendo que 2,595 (18.59%) deles eram maliciosos e 5,104 (36.57%) eram de “alto risco”.
Como funciona
Não há muitos segredos no cybersquatting: a técnica consiste simplesmente em usar a criatividade para reservar domínios que, no olhar de um internauta desatento, possam passar despercebidos como a URL oficial daquele app, serviço ou site. Por exemplo, netfilix.com pode se passar facilmente por netflix.com em uma olhada rápida, mas basta prestar um pouquinho de atenção para entender que algumas letras estão trocadas.
No geral, existem seis grandes “categorias” de cybersquatting, definidas de acordo com o tipo de “disfarce” empregado para criar um domínio similar ao original:
- Typosquatting: se aproveita de erros de digitação comuns ao escrever o domínio legítimo com pressa, como arifrance.com em vez de airfrance.com;
- Combosquatting: junta o nome oficial do domínio com a adição de prefixos e sufixos como “payment”, “verification” etc., no intuito de enviar emails fraudulentos como support@whatsapp-verification.com;
- Homograph-squatting: emprega caracteres de alfabetos estrangeiros que são visualmente semelhantes aos do alfabeto latino, como whatsаpp.com (o segundo “a” é, na verdade, um caractere cirílico) em vez de WhatsApp.com;
- Sound-squatting: se aproveita da semelhança sonora de palavras, como whether.com e weather.com;
- Bitsquatting: explora erros de corrupção de memória que podem alterar os bits de um caractere do domínio, como micposoft.com em vez de microsoft.com;
- Level-squatting: utiliza o nome do domínio original, mas em outro nível, como safety.microsoft.com.mdmfmztwjj.l6kan7uf04p102xmpq.bid.
Para monitorar novos domínios maliciosos de cybersquatting, os pesquisadores da Palo Alto desenvolveram um sistema automatizado que analisa novas variações léxicas de endereços famosos e observa dados de DNS passivo (pDNS). Com isso, a companhia se torna capaz de entender até mesmo quais sites e apps são vítimas mais frequentes desse tipo de campanha.
Os queridinhos do crime
No geral, para campanhas de cybersquatting, os criminosos preferem emular sites que possam trazer algum benefício financeiro, como plataformas de ecommerce ou serviços que cobram mensalidade. De acordo com a Unit 42, os três domínios mais populares para tais falsificações são o PayPal.com, o apple.com e o royalbank.com (famosa instituição bancária canadense).
Logo após temos nomes como Netflix, LinkedIn, Amazon, Dropbox, TripAdvisor, iCloud, Facebook, Google, Microsoft e até mesmo a Norton, empresa responsável pelo famoso antivírus homônimo.
Para efetuar o registro dos domínios maliciosos, os golpistas empregam marketplaces que ofereçam, por padrão, proteção aos dados do registrante e redirecionamento automático; o Internet.bs é o favorito dos scammers. Plataformas “mainstream” como o GoDaddy também possuem mecanismos que impedem, por exemplo, o registro de URLs com caracteres cirílicos, o que os tornam inúteis para a prática do crime.
Também é preocupante observar que, com a internet priorizando a adoção do protocolo seguro HTTPS (o navegador Google Chrome, por exemplo, costuma bloquear sites HTTP), os meliantes também abusam de autoridades certificadoras para ganhar um selo de verificação em seus domínios fraudulentos. A Cloudflare é a mais popular, mas também temos um uso intenso da Let’s Encrypt, já que ela é totalmente gratuita.
Exemplos de perigos
Se você já estava se perguntando qual é o real perigo dos domínios cybersquatting, bom, temos uma série de exemplos práticos e reais. Dentre as diversas ameaças observadas pela Unit 42, uma delas simulava com perfeição o site da Amazon indiana, usando como URL o endereço amazon-india.online. Além da extensão errônea .online, o subdomínio “india” vai depois de “amazon”, e não antes, sendo separado com um hífen.
Outro uso muito comum para esse tipo de técnica é a disseminação de programas potencialmente indesejados (Potentially Unwanted Program ou PUP no original em inglês), que nada mais são do que pacotes infectados com spywares ou adwares. Geralmente, eles são distribuídos na forma de falsas atualizações para o Adobe Flash Player ou para o próprio Windows. Dois exemplos reais são os domínios walrmart44.com e samsungpr0mo.online.
Temos ainda casos de campanhas de “re-bill” (quando o internauta é convencido a pagar uma taxa mínima por um suposto produto, mas, ao não cancelar a inscrição, ele é cobrado em valores bem maiores no próximo mês), de falsas páginas de suporte técnico (geralmente abusando domínios da Microsoft) e até promoções fictícias de grandes empresas (como o facebookwinners2020.com, que promete prêmios em dinheiro).
Claro, o phishing continua sendo a menina dos olhos dos cibercriminosos. Usando o exemplo do início desta reportagem, um domínio netfilix.com pode ser extremamente útil para quem deseja disparar um falso email em nome de contact@netfilix.com ou algo similar, solicitando os dados de pagamento de um internauta desatento.
Como se proteger
Infelizmente, não há muita coisa a se fazer para evitar a disseminação de domínios fraudulentos — cada empresa precisa investir em uma própria estratégia para limpar sua presença digital, identificando URLs maliciosas que abusem de sua marca e contatando as autoridades imediatamente.
Para o usuário final, só resta redobrar o cuidado ao acessar sites ou receber emails suspeitos: observe o endereço com atenção, estudando eventuais caracteres trocados ou extensões diferentes. Claro, contar com uma ferramenta automatizada que faça varreduras e indique tais elementos é sempre bom, mas nada jamais substituirá a boa e velha conscientização do fator humano.
Fonte: Palo Alto Networks