2019/12/28

Phishing mais evoluído redirecciona vítimas apenas se usarem o browser


Os ataques de phishing e fraudes na internet estão em constante evolução, e um dos mais recentes faz-se passar por um site governamental e só é activado para potenciais vítimas que usem o browser para clicar nos links.

Uma nova campanha de phishing que está a ser disseminada no Facebook faz-se passar por um anúncio para o site Portugal.gov.pt. A parte engenhosa do ataque é que se quando se tentar aceder ao link do anúncio fraudulento como se se fosse o Facebook ou usando um comando curl para obter o seu conteúdo, os atacantes redireccionam os pedidos para o site legítimo - apenas no caso de clicarem no link a partir de um browser é que é apresentado a página fraudulenta às potenciais vítimas.



Este tipo de táctica faz com que, quando o Facebook pense que tudo está bem quando tenta validar a campanha publicitária, ou que se corram scripts para analisar o conteúdo da página. Mas quando é um utilizador a clicar no link, será redireccionado para a página de phishing.

Isto vai obrigar a que sites como o Facebook passem a ter maior cuidado na validação dos links (sendo que não se podem eliminar os links redireccionados, já que são frequentemente usados para efeitos de tracking ou até para encurtar URLs - como o bitly e afins). Sendo também preciso ter em conta que este mesmo tipo de técnica pode ser levada muito mais além, por exemplo, apresentando a página legítima a quem usa determinado browser, ou a partir de determinado país, ou a partir de determinados endereços IPs (por exemplo, dos serviços de validação do Facebook); ou que, pelo outro lado, apenas mostrem a página fraudulenta a pessoas de determinada região, ou de determinado operador de telecomunicações, etc. Coisas que podem complicar bastante a sua detecção - por exemplo, as vítimas queixarem-se que é uma página de phishing, mas quando o serviço a vai testar vê a página legítima e tudo aparentemente "bem".

Como sempre, alerta redobrado e tentar evitar clicar em links... Nada como introduzirem os endereços à mão para garantirem que estão a aceder aos sites que se pretende aceder - e confirmarem que se trata de uma ligação segura (HTTPS).

Sem comentários:

Enviar um comentário