08 de julho de 2020

Golpe usa fácil identificação de servidores para explorar vulnerabilidades de blog, sites e e-commerces

phishing para blogs

Qualquer um que administra um site ou blog muito provavelmente usa um provedor em nuvem ou uma empresa de hospedagem especializada para gerenciar seu servidor e entregar conteúdo a seus visitantes.

E, como você ou sua equipe já devem ter reparado, é fácil descobrir qual servidor seu site ou blog utilizam. Não é à toa que a caixa de entrada dos e-mails de seus colaboradores às vezes lota de spams como: “Percebi que você usa o provedor de Web X e temos uma oferta imperdível para você!”

Esse tipo de mensagem, embora aborrecedor, costuma ser inofensivo. Porém, é indicativo de um problema maior: a facilidade com que determinados informações podem ser rastreadas e utilizadas para fins cibercriminosos.

Pesquisadores de cibersegurança do SophosLab expuseram, essa semana, uma campanha de phishing direcionada a sites e blogs que se aproveita justamente dessa vulnerabilidade.

O que eles descobriram:

Campanha de phishing oferece “atualizações de segurança do DNS” a sites e blogs

Recentemente, usuários do WordPress, bem como de diversos servidores populares ao redor do mundo, têm recebido e-mails de phishing onde criminosos, se passando pela plataforma, alegam que em breve novos recursos de segurança do DNS serão adicionados ao domínio hospedado no servidor em questão.

O e-mail tem a seguinte estrutura:

Assunto: Atualização do DNS do [seusite].com

Estamos atualizando o DNS do seu domínio para uma solução ainda melhor, gratuitamente!

Nós nos preocupamos com a sua privacidade e a proteção dos seus domínios. Por isso, em breve atualizaremos o DNS (Sistema de Nomes de Domínio) básico às Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC).

Créditos da imagem: nakedsecurity.sophos.com

Como você provavelmente sabe, DNS é uma abreviação de Domain Name System – o banco de dados global que transforma nomes de servidores que usuários podem lembrar (como compugraf.com.br), em números de rede que os computadores podem usar (como 203.0.113.171).

E quem está mais familiarizado com cibersegurança também já ouviu falar do DNSSEC, abreviação de Domain Name System Security Extension, porque ele existe há mais de 20 anos.

Trata-se de um protocolo que adiciona autenticação às transferências de dados DNS para ajudar a impedir que os cibercriminosos encham o banco de dados DNS com entradas falsas e, assim, sequestrem o tráfego do seu site.

No entanto, sua equipe de TI provavelmente nunca teve que configurar ou acessar diretamente o DNSSEC, porque este geralmente é um recurso utilizado pelos provedores de serviços para ajudar a manter seus próprios bancos de dados DNS intactos quando eles trocam dados com outros servidores DNS.

Mas se você não sabe disso e se depara com o e-mail acima, ativar o DNSSEC certamente parece uma boa idéia, afinal, indica maior segurança, certo?

Logo, é fácil entender por que alguns destinatários desse golpe estão clicando para saber mais e “atualizar as configurações de DNS” de seus servidores.

A engenharia por trás da campanha de phishing

A landing page desse golpe é surpreendentemente crível, como você pode ver abaixo, que é para onde o link redireciona quando o destinatário clica para fazer sua “atualização gratuita” do DNSSEC:

A página afirma ser um "Assistente de Atualização do WordPress", com logotipos e ícones que correspondem ao seu provedor de serviços, e ainda possui um botão de “como usar este assistente”, que realmente funciona:

Obviamente, o intuito aqui é que o usuário compartilhe suas credenciais do WordPress.

Porém, todos os dados inseridos na página vão diretamente para os criminosos, e se o usuário não tiver a autenticação de dois fatores ativada em sua conta, eles poderão facilmente fazer logon no site ou blog e se apropriar dele.

Caso os dados sejam compartilhados, o golpe mostrará algumas mensagens de progresso falsas, mas que imitam muitíssimo bem páginas verdadeiras, para fazer o usuário pensar que uma legítima "atualização do site" foi iniciada.

Além disso, os golpistas afirmam que o usuário será redirecionado para o seu próprio site no final do processo, mas, em vez disso, ele termina em uma URL que inclui o nome do site precedido pelo nome do site falso, configurado pelos criminosos.

Isso gera um erro 404 – mas não é possível dizer se os bandidos cometeram um erro de programação ou se esse era o objetivo isso o tempo todo, para evitar o redirecionamento.

Personalização automática da página de destino

Os links clicáveis nos e-mails enviados nesta campanha de phishing incluem todos os dados necessários para que os criminosos personalizem a página de login automaticamente, de acordo com o servidor utilizado por cada vítima.

No total, os bandidos tinham 98 imagens diferentes de marcas prontas para serem usadas, incluindo de provedores para e-commerce .

O que fazer para se proteger dessas campanhas de phishing?

A recomendação mais simples? Não faça login através de links enviados por e-mails, especialmente se eles parecem suspeitos.

Caso não pareçam suspeitos, como é o caso aqui, se você ou alguém da sua equipe receber um e-mail informando que precisa fazer login no serviço X e tiver uma conta no site X, ignore os links de login do próprio e-mail.

Nesse contexto, o ideal é que você digite o site na barra de busca para, então, fazer seu login, mesmo se achar que o e-mail é genuíno. Dessa forma, você evita cair em links falsos por engano.

Além disso, ative a autenticação de dois fatores sempre que possível.

Outra dica compartilhada pelos pesquisadores é considerar um gerenciador de senhas. Os gerenciadores de senhas não apenas selecionam senhas fortes e aleatórias automaticamente, mas também associam cada senha a um URL específico.

Isso torna muito mais difícil colocar a senha correta no site errado, porque o gerenciador de senhas simplesmente não sabe qual conta usar quando se depara com um site de phishing desconhecido.

Finalmente, consultar especialistas em segurança é sempre uma boa pedida, principalmente se você quer ter a certeza de que todas as áreas vulneráveis da sua empresa estarão sendo protegidas.

Conte com a assessoria dos nossos especialistas da Compugraf e descubra como manter a segurança do seu site – e do seu negócio!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?