Rastreando os alvos de ataques de cybersquatting

Rastreando os alvos de ataques de cybersquatting. Os usuários de sites financeiros e de comércio eletrônico são vítimas frequentes.

Os chamados ataques de “cybersquatting” estão aumentando, com sites financeiros e de comércio eletrônico – incluindo os do PayPal, Royal Bank of Canada, Bank of America e Amazon – entre os alvos mais frequentes, de acordo com a Palo Alto Networks’ Unit 42.

Os usuários da Internet contam com nomes de domínio para encontrar marcas, serviços, profissionais e sites pessoais. Os cibercriminosos tiram proveito do papel essencial que os nomes de domínio desempenham na Internet, registrando nomes que parecem relacionados a domínios ou marcas existentes, com a intenção de lucrar com os erros do usuário. Isso é conhecido como cybersquatting. O objetivo de registrar domínios é confundir os usuários fazendo-os acreditar que as marcas-alvo (como Netflix) possuem esses nomes de domínio (como netflix -payments [.] Com ) ou lucrar com os erros de digitação dos usuários (como whatsa l pp [ .] com para WhatsApp). Embora a pirataria cibernética nem sempre seja mal-intencionada para os usuários, ela é ilegal e domínios registrados são freqüentemente usados ​​ou reaproveitados para ataques.

A pirataria cibernética é um tipo de fraude em que uma pequena alteração é feita em um nome de domínio para confundir o consumidor, fazendo-o acreditar que está visitando um site legítimo. A análise da Unidade 42 descobriu que somente em dezembro de 2019, 13.857 domínios de ocupação foram registrados, uma média de 450 por dia. Quase 19% deles entregaram malware malicioso ou ataques de phishing, e pouco mais de 36% são considerados de alto risco porque estão associados a URLs maliciosos ou utilizam hospedagem bulletproof hosting.

O objetivo desses ataques é extrair credenciais de login ou dados de cartão de pagamento de suas vítimas, diz Zhanhao Chen, pesquisador sênior da Unidade 42.

Os cibercriminosos aproveitam a credibilidade de uma marca para atrair mais usuários que podem ser enganados. Um exemplo é o PayPal. Os cibercriminosos anexam palavras-chave como ‘proteger’ e ‘verificar’ ao final do PayPal, dando a impressão de que é um site oficial do PayPal, disse Chen ao Information Security Media Group.

O relatório aponta que organizações de todos os tamanhos são alvo de golpes de pirataria cibernética. Chen diz que os cibercriminosos podem ver um banco menor, por exemplo, como menos capaz de defender seu domínio.

A Palo Alto também classificou os 20 domínios mais abusados ​​em dezembro de 2019 com base na taxa de malware ajustada, o que significa que um domínio é alvo de muitos domínios invasores ou a maioria desses domínios invasores são confirmados como maliciosos. Neste cenário a Palo Alto descobriu que os invasores de domínio preferem alvos lucrativos, como os principais mecanismos de pesquisa e mídia social, sites financeiros, de compras e bancários. Ao visitar esses sites, os usuários geralmente estão preparados para compartilhar informações confidenciais, o que os torna vulneráveis ​​a phishing e golpes para roubar credenciais confidenciais ou dinheiro, caso possam ser enganados para visitar um domínio invasor.

Este gráfico classifica os 20 domínios mais abusados, usando uma métrica de "taxa de mal-intencionada ajustada" para determinar quais domínios são os alvos preferidos da prática de pirataria cibernética.

fonte: Palo Alto

De dezembro de 2019 até hoje, a Palo Alto observou uma variedade de domínios maliciosos com objetivos diferentes:

  • Phishing: um domínio que imita o Wells Fargo ( secure- wellsfargo [.] Org ) visando clientes para roubar informações confidenciais, incluindo credenciais de e-mail e PINs de caixas eletrônicos. Além disso, um domínio que imita a Amazon ( amazon -india [.] Online ) configurado para roubar credenciais de usuário, visando especificamente usuários móveis na Índia.
  • Malware distribution: um domínio que imita o Samsung ( samsung eblya iphone [.] Com ), hospedando o malware Azorult para roubar informações de cartão de crédito.
  • Command and control (C2): Domínios que imitam a Microsoft ( microsoft-store-drm-server [.] Com e microsoft-sback-server [.] Com ) tentando conduzir ataques C2 para comprometer uma rede inteira.
  • Re-bill scam (Golpe de cobrança): vários sites de phishing que imitam o Netflix (como o netflix brazilcovid [.] Com ) criados para roubar o dinheiro das vítimas oferecendo primeiro um pequeno pagamento inicial para a assinatura de um produto como pílulas para perder peso. No entanto, se os usuários não cancelarem a assinatura após o período da promoção, um custo muito maior será cobrado de seus cartões de crédito, geralmente US $ 50-100.
  • Programa Potencialmente Indesejado (PUP Potentially unwanted program): Domínios que imitam o Walmart ( walrmart 44 [.] Com ) e Samsung ( samsung pr0mo [.] Online ) distribuindo PUP, como spyware, adware ou uma extensão de navegador. Eles geralmente realizam alterações indesejadas, como alterar a página padrão do navegador ou sequestrar o navegador para inserir anúncios. Digno de nota, o domínio Samsung parece um site legítimo de notícias educacionais da Austrália.
  • Technical support scam: Domínios que imitam a Microsoft (como microsoft -alert [.] Club ) tentando assustar os usuários e fazê-los pagar por suporte ao cliente falso.
  • Reward scam (Golpe de recompensa): um domínio que imita o Facebook ( facebook winners2020 [.] Com ), enganando os usuários com recompensas, como produtos gratuitos ou dinheiro. Para resgatar o prêmio, o usuário deve preencher um formulário com seus dados pessoais, como data de nascimento, telefone, ocupação e renda.
  • Domain parking: um domínio que imita o RBC Royal Bank ( rby royalbank [.] Com ) aproveitando um serviço de estacionamento popular, ParkingCrew, para gerar lucro com base em quantos usuários acessam o site e clicam nos anúncios.

Por que os ataques de Squatting funcionam

Os cibercriminosos sabem que a maioria dos visitantes do site não presta atenção aos URLs, e o número de domínios falsos em potencial que podem ser criados “é quase infinito”, de acordo com o relatório.

A pirataria cibernética é uma forma eficaz de tirar vantagem do erro e da falta de cuidado do usuário. Em segundo lugar, é barato para os criminosos cibernéticos criarem novos domínios de invasão e registrá-los”, diz Chen.

Uma forma de combater o risco é as empresas registrarem alguns dos nomes de domínio mais óbvios que poderiam ser usados ​​para pirataria cibernética, observa Chen.

Em segundo lugar, eles podem aproveitar a Anticybersquatting Consumer Protection Act (ACPA) ou a Política Uniforme de Resolução de Disputas de Nomes de Domínio (UDRP) da ICANN para controlar os domínios ou retirá-los. Terceiro, eles podem contratar um fornecedor de segurança cibernética que rastreia continuamente domínios ocupados “, diz Chen.

As técnicas

Atores mal-intencionados estão usando uma variedade de técnicas para fazer os consumidores acreditarem que um site é legítimo. O mais conhecido é o typosquatting, em que um domínio é criado usando um nome de marca bem conhecido que está escrito incorretamente de uma maneira que a pessoa comum provavelmente não perceberá.

Typosquatters registram intencionalmente variantes com erros ortográficos (como whatsalpp [.] Com) de nomes de domínio de destino (whatsapp [.] Com) para lucrar com os erros de digitação dos usuários ou enganá-los fazendo-os acreditar que estão visitando o domínio de destino correto“, de acordo com ao relatório da Unidade 42.

Outras variantes incluem:

  • Combosquatting : Quando marcas registradas populares são combinadas com palavras como “segurança” (netflix-payments [.] Com);
  • Homographsquatting : Quando os domínios tiram proveito de nomes de domínio internacionalizados, ou IDNs, onde os caracteres Unicode são permitidos (microsofŧ [.] Com);
  • Soundsquatting : Aproveitar palavras que parecem variantes de domínios populares (4ever21 [.] Com for forever21 [.] Com);
  • Bitsquatting : Quando os domínios diferem em um caractere do domínio legítimo de destino (micposoft [.] Com);
  • Levelsquatting : usar domínios que dão a impressão de que são controlados por uma empresa legítima (safety.microsoft.com.mdmfmztwjj.l6kan7uf04p102xmpq [.] Bid).

Conclusão

Em resumo, as técnicas de domain squatting aproveitam o fato de que os usuários contam com nomes de domínio para identificar marcas e serviços na Internet. Esses domínios ocupados são frequentemente usados ​​para atividades nefastas, incluindo phishing, malware e distribuição de PUPs, C2 e vários golpes. Foi observada uma alta taxa de uso malicioso e suspeito entre domínios ocupados. Portanto, o monitoramento e a análise contínuos desses domínios são necessários para proteger os usuários.

A Palo Alto Networks monitora domínios recém-registrados e nomes de host recém-observados a partir de arquivos pDNS e Zone para capturar campanhas emergentes de ocupação. O pipeline automático publica os domínios que detecta para URL Filtering e DNS Security usando a categoria apropriada, incluindo malware, phishing, C2 ou grayware.

Analisando o ecossistema de squatting, observa-se que os invasores de domínio preferem certos tipos de domínios de destino, registradores, serviços de hospedagem e autoridades de certificação. Os seguintes atributos são comuns em casos de domínios ocupados maliciosos:

  • Nomes de domínio que têm como alvo domínios financeiros, comerciais e bancários conhecidos.
  • Domínios que usam registradores e serviços de hospedagem frequentemente abusados.
  • Domínios que não possuem certificados SSL totalmente validados.

Portanto, recomendamos a todos que sejam mais cuidadosos ao encontrar esses domínios.

Vejam o relatório completo da Palo Alto em Cybersquatting: Attackers Mimicking Domains of Major Brands Including Facebook, Apple, Amazon and Netflix to Scam Consumers

 

Fonte: Palo Alto & BankInfo Security  


 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!