Golpe usa fácil identificação de servidores para explorar vulnerabilidades de blog, sites e e-commerces
Qualquer um que administra um site ou blog muito provavelmente usa um provedor em nuvem ou uma empresa de hospedagem especializada para gerenciar seu servidor e entregar conteúdo a seus visitantes.
E, como você ou sua equipe já devem ter reparado, é fácil descobrir qual servidor seu site ou blog utilizam. Não é à toa que a caixa de entrada dos e-mails de seus colaboradores às vezes lota de spams como: “Percebi que você usa o provedor de Web X e temos uma oferta imperdível para você!”
Esse tipo de mensagem, embora aborrecedor, costuma ser inofensivo. Porém, é indicativo de um problema maior: a facilidade com que determinados informações podem ser rastreadas e utilizadas para fins cibercriminosos.
Pesquisadores de cibersegurança do SophosLab expuseram, essa semana, uma campanha de phishing direcionada a sites e blogs que se aproveita justamente dessa vulnerabilidade.
O que eles descobriram:
Campanha de phishing oferece “atualizações de segurança do DNS” a sites e blogs
Recentemente, usuários do WordPress, bem como de diversos servidores populares ao redor do mundo, têm recebido e-mails de phishing onde criminosos, se passando pela plataforma, alegam que em breve novos recursos de segurança do DNS serão adicionados ao domínio hospedado no servidor em questão.
O e-mail tem a seguinte estrutura:
Assunto: Atualização do DNS do [seusite].com
Estamos atualizando o DNS do seu domínio para uma solução ainda melhor, gratuitamente!
Nós nos preocupamos com a sua privacidade e a proteção dos seus domínios. Por isso, em breve atualizaremos o DNS (Sistema de Nomes de Domínio) básico às Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC).
Créditos da imagem: nakedsecurity.sophos.com
Como você provavelmente sabe, DNS é uma abreviação de Domain Name System – o banco de dados global que transforma nomes de servidores que usuários podem lembrar (como compugraf.com.br), em números de rede que os computadores podem usar (como 203.0.113.171).
E quem está mais familiarizado com cibersegurança também já ouviu falar do DNSSEC, abreviação de Domain Name System Security Extension, porque ele existe há mais de 20 anos.
Trata-se de um protocolo que adiciona autenticação às transferências de dados DNS para ajudar a impedir que os cibercriminosos encham o banco de dados DNS com entradas falsas e, assim, sequestrem o tráfego do seu site.
No entanto, sua equipe de TI provavelmente nunca teve que configurar ou acessar diretamente o DNSSEC, porque este geralmente é um recurso utilizado pelos provedores de serviços para ajudar a manter seus próprios bancos de dados DNS intactos quando eles trocam dados com outros servidores DNS.
Mas se você não sabe disso e se depara com o e-mail acima, ativar o DNSSEC certamente parece uma boa idéia, afinal, indica maior segurança, certo?
Logo, é fácil entender por que alguns destinatários desse golpe estão clicando para saber mais e “atualizar as configurações de DNS” de seus servidores.
A engenharia por trás da campanha de phishing
A landing page desse golpe é surpreendentemente crível, como você pode ver abaixo, que é para onde o link redireciona quando o destinatário clica para fazer sua “atualização gratuita” do DNSSEC:
A página afirma ser um "Assistente de Atualização do WordPress", com logotipos e ícones que correspondem ao seu provedor de serviços, e ainda possui um botão de “como usar este assistente”, que realmente funciona:
Obviamente, o intuito aqui é que o usuário compartilhe suas credenciais do WordPress.
Porém, todos os dados inseridos na página vão diretamente para os criminosos, e se o usuário não tiver a autenticação de dois fatores ativada em sua conta, eles poderão facilmente fazer logon no site ou blog e se apropriar dele.
Caso os dados sejam compartilhados, o golpe mostrará algumas mensagens de progresso falsas, mas que imitam muitíssimo bem páginas verdadeiras, para fazer o usuário pensar que uma legítima "atualização do site" foi iniciada.
Além disso, os golpistas afirmam que o usuário será redirecionado para o seu próprio site no final do processo, mas, em vez disso, ele termina em uma URL que inclui o nome do site precedido pelo nome do site falso, configurado pelos criminosos.
Isso gera um erro 404 – mas não é possível dizer se os bandidos cometeram um erro de programação ou se esse era o objetivo isso o tempo todo, para evitar o redirecionamento.
Personalização automática da página de destino
Os links clicáveis nos e-mails enviados nesta campanha de phishing incluem todos os dados necessários para que os criminosos personalizem a página de login automaticamente, de acordo com o servidor utilizado por cada vítima.
No total, os bandidos tinham 98 imagens diferentes de marcas prontas para serem usadas, incluindo de provedores para e-commerce .
O que fazer para se proteger dessas campanhas de phishing?
A recomendação mais simples? Não faça login através de links enviados por e-mails, especialmente se eles parecem suspeitos.
Caso não pareçam suspeitos, como é o caso aqui, se você ou alguém da sua equipe receber um e-mail informando que precisa fazer login no serviço X e tiver uma conta no site X, ignore os links de login do próprio e-mail.
Nesse contexto, o ideal é que você digite o site na barra de busca para, então, fazer seu login, mesmo se achar que o e-mail é genuíno. Dessa forma, você evita cair em links falsos por engano.
Além disso, ative a autenticação de dois fatores sempre que possível.
Outra dica compartilhada pelos pesquisadores é considerar um gerenciador de senhas. Os gerenciadores de senhas não apenas selecionam senhas fortes e aleatórias automaticamente, mas também associam cada senha a um URL específico.
Isso torna muito mais difícil colocar a senha correta no site errado, porque o gerenciador de senhas simplesmente não sabe qual conta usar quando se depara com um site de phishing desconhecido.
Finalmente, consultar especialistas em segurança é sempre uma boa pedida, principalmente se você quer ter a certeza de que todas as áreas vulneráveis da sua empresa estarão sendo protegidas.
Conte com a assessoria dos nossos especialistas da Compugraf e descubra como manter a segurança do seu site – e do seu negócio!