Hello friends, durante o estudo de técnicas de phishing no final de 2019 e mais recentemente estudando para uma certificação, me deparei com um conceito muito interessante e também simples que normalmente está atrelado a ataques de engenharia social e sem sombra de dúvidas afeta praticamente todas as empresas consideradas grandes que muitas vezes movimentam profissionais e até serviços terceirizados para o monitoramento e possível ação (das mais diversas) contra esta técnica.
O que é Typosquatting ?
Está técnica citada no primeiro paragrafo carrega o nome de Typosquatting e conceitualmente falando trata-se de algo muito simples, onde uma pessoa com fins muitas vezes maliciosos compra/utiliza um dominio muito parecido com de uma empresa de verdade, como por exemplo:
- Domínio verdadeiro – hackerculture.com.br
- Domínio Falso– hackercullture.com.br
A única diferença do primeiro endereço para o segundo é apenas uma letra a mais (que no caso é a letra L). Mas essa pequena diferença pode fazer com que um erro de digitação ou até mesmo um phishing passe despercebido e então a pessoa que cometeu tal descuido acesse um site falso pensando ser o original, o conteúdo desse site pode variar entre diversas funções maliciosas como por exemplo, download falsos, scripts maliciosos e o mais comum o roubo de credencial de acesso.
Como é aplicado na vida real ?
Para exemplificar criei um phishing visto sem sombra de dúvidas ser uma das formas bastante usuais de realizar o ataque envolvendo o Typosquatting, conforme imagem abaixo vemos que no exemplo foi utilizado um phishing de um conhecido banco digital, mas vale ressaltar que pessoas que criam este tipo de conteúdo pode usar qualquer empresa.
Caso a pessoa que recebeu o email acesse esse site pensando ser um site verídico será direcionada para um site exatamente igual o original e poderá ter suas credenciais comprometidas.
Ferramentas/serviços que podem auxiliar o atacante
Levantei duas ferramentas/serviços em sites que ajudariam o atacante a encontrar domínios disponíveis e que sejam parecidos com os originais, vale ressaltar que existe uma gama de ferramentas deste tipo, ou então a possibilidade do desenvolvimento de uma utilizando python ou alguma linguagem de preferência. Por incrível que pareça o primeiro e com certeza um dos métodos mais eficazes é utilizar um serviço que não foi desenvolvido para isso mas é extremamente eficaz para este fim, são eles os sites que é possível buscar e/ou comprar um domínio. Como por exemplo:
Godaddy (https://br.godaddy.com)
Esta ferramenta como dito anteriormente não serve para fins maliciosos e sim para a compra de um domínio, porém ao realizar a pesquisa de um domínio que encontra-se em uso esta ferramenta e outras na mesma linha sugerem alguns domínios parecidos conforme exemplo abaixo:
“URLCRAZY” (https://suip.biz/?act=urlcrazy)
Esta ferramenta ao contrário da anterior, realmente foi desenvolvida para fins maliciosos, onde ao realizar a busca de um domino já existente é informado como saída, uma vasta gama de variações dele conforme imagem a seguir:
O mais interessante é como a ferramenta trás o resultado, onde é mostrado por exemplo o “tipo” de mudança no domínio que pode variar (caractere omitido, caractere repetido e etc. ).
Medidas de mitigação e contenção ao Typosquatting
Pensando em como prevenir este tipo de maliciosidade abstrata, empresas que prestam serviço voltados a segurança da informação vem desenvolvendo ferramentas e movimentando suas equipes, estes serviços normalmente trabalham de duas formas que são:
1 – Prevenção – Um exemplo de prevenção e muitas vezes utilizados pelas empresa é o ato de comprar o máximo de domínios parecidos e vinculados a empresa, obviamente este não é um método 100% eficaz tendo em vista como podemos ver até o momento existir milhares de domínios possíveis e parecidos. Desta forma todas as vezes que está tática é empregada normalmente compra-se apenas os domínios que possuem uma maior probabilidade de ser utilizado (ou acontecer um erro de digitação por parte do usuário).
2 – Monitoramento e contenção – Este método acredito que atualmente seja um dos mais comuns e também mais vendidos como serviço, trata-se de a análise e pesquisa na web afim de encontrar possíveis sites sendo utilizados para este fim e então realizar o takedown dos mesmos, este processo de inoperação do site malicioso muitas vezes é realizado pelo intermédio de empresas que hospedam o site ou até mesmo empresas que fornecem internete.
É nítido o quão usual este tipo de mudança de urls é para os atacantes nos dias atuais (e vem sendo a alguns anos), visto a dificuldade de combater este tipo de técnica e sua alta eficácia muito provavelmente os casos tendem a aumentar com o passar do anos.
Esperamos que este artigo seja útil no seu aprendizado pessoal ou no treinamento da sua equipe. Se você gostou deste texto o compartilhe nas suas redes sociais.
Views: 144
Muito bom Guilherme, vou repassar este artigo.
Abs,
Parabéns Guilherme, Excelente artigo!