Executando verificação de segurança...
9
RavenaStar
5 min de leitura ·

👮 Fraud Prevention - phishing/scam

Ultimamente há golpes/fraudes frequentes relacionados a phishing/scam com isso venho trazer dicas úteis para se prevenir contra elas.

📜 Anatomia básica da URL & Phishing/scam & Look-alike domain

O que é uma URL (Uniform Resource Locator)

Uma URL, ou localizador uniforme de recursos, é um endereço que ajuda seu navegador a localizar uma página da web, foto, arquivo, ou outro recurso específico.

Seu navegador leva o endereço, traduz o nome do domínio para o endereço IP do servidor e o resto da URL mostra o caminho para o arquivo específico naquele servidor.

Uma URL leva a um arquivo ou página específica, enquanto um nome de domínio é o “endereço” geral para todo o website ou servidor.

Exemplo de uma URL

Para ver um exemplo de URL, tudo o que você precisa fazer é olhar o campo de endereço web no topo do seu navegador, logo abaixo de suas abas.

O campo mostra a URL para esta página:https://staralienbot.com/termos. (Seu navegador pode esconder o HTTPS até que você faça duplo clique no campo).

Observe que quando você clica em uma aba diferente, ela mostra uma URL diferente que se refere à página ou arquivo que você está visualizando.

O Protocolo HTTPS/HTTP

A primeira parte de uma URL identifica qual protocolo o servidor e a página da Web utilizam para transferir dados para seu computador.

Dependendo do seu navegador, você pode ter que clicar duas vezes no lado esquerdo da URL para ver esta parte.

HTTP significa Hypertext Transfer Protocol e é a forma básica e não criptografada de transferir dados pela Internet. HTTPS significa Hypertext Transfer Protocol Secure (Protocolo de Transferência de Hipertexto Seguro) e é um protocolo mais seguro e criptografado para transferir dados. O Google Chrome mostrará que um site usa HTTPS com um símbolo de cadeado verde, simbolizando um site seguro, mas o site com cadeado verde não configura-se que não seja phishing/scam, golpistas podem criar sites phishing/scam com cadeado verde sem problema algum.

Se um site utiliza HTTP, ele mostra uma marca de atenção que você pode expandir e que o adverte contra o envio de qualquer informação sensível ao site.

O Nome de Domínio & DNS

O nome de domínio é o que ajuda o navegador a encontrar seu servidor web em primeiro lugar, usando o DNS (Domain Name System).

O Caminho

O caminho é qualquer parte da URL que vem depois do nome de domínio, antes de um ponto de interrogação ou # que acrescenta informações extras a uma URL (mais sobre isso abaixo).

WWW ou não WWW (World Wide Web)

Incluindo uma www em sua URL costumava ser um padrão para todos os sites na Internet.

Os três W são uma parte opcional de uma URL que identifica um site como parte da World Wide Web. Se você o utiliza é em sua maioria por preferência pessoal.

Phishing/scam

  • Desconfie de links ou sites
    Sempre é bom verificar o site e o link o qual acessa, pois muitos deles podem ser phishimg/scam e fazer com que informe dados ao criminoso, use vários procedimentos de verificação antes de acessar algo.
  • Desconfie de anúncios sensacionalista
    Muitos desses anúncios são para manipular a mente humana com a tendência de pensar pelo lado emocional do que racional, desconfiem desses tipos de anúncios e sempre verifique se o anúncio é verdadeiro indo no site oficial da empresa do anúncio.
  • Desconfiem dos links/arquivos que os amigos mandam
    Seus amigos também podem ser infectados e espalhar vírus pra outras pessoas.
  • Preste atenção na anatomia da URL
    Sempre verifique a URL que você acessa, há varias ferramentas de análise na web para verificar se a URL é segura ou não, vou citar algumas:
    urlscan.io - website
    VirusTotal - website
    Google Safe Browsing- website
    Kaspersky Threat Intelligence Portal - website
    Microsoft Defender Browser Protection - extensão de navegador
    Malwarebytes Browser Guard - extensão de navegador
    TrafficLight - extensão de navegador
    Malware & URL Scanner - extensão de navegador
    ipqualityscore - website
    Shodan - extensão de navegador (Shodan informa onde o site está hospedado (país, cidade), quem possui o IP e quais outros serviços/portas estão abertos.

Recomendação de vídeo, artigo e canal

Look-alike domain

É a ferramenta de ataque mais versátil, pois servem como base para uma ampla gama de ameaças cibernéticas e passa despercebido por muitos.

  • "top-level domain" pode identificar o local onde o registrante do domínio reside, sua finalidade organizacional ou até mesmo o setor da empresa que o registrou, são utilizados por golpista em ataques de phishing/scam referente ao look-alike domain.
  • "look-alike domain" também conhecidos como domínios primos, os domínios semelhantes são nomes de domínio de sites semelhantes a nomes de domínio legítimos e reais, são muitas vezes utilizados por golpista em ataques de phishing/scam.
  • "Domain" é o nome do endereço e o identificador exclusivo frequentemente manipulado para personificar domínios usados para fins legítimos. Eles permitem que nossos computadores encontrem o servidor onde um site ou e-mail está hospedado.

Se possível decore o domínio original do serviço que você mais utiliza, quando você ver o link/site saberá se é golpe ou não.

8
meiraPh

Conteúdo muito bem produzido! Segurança é algo que todos devemos ter cuidade, principalmente a cibersegurança e seus "macetinhos".

1
1
Ghizzi

Uma dica é utilizar a indicação de url baseada no historico, ou salvar os sites, tem gente que diz que é melhor entrar pelo google sempre, mas o google é uma rede de pesquisa, então um deslize pra um anúncio no topo se passando pela página, ou uma página de dominio parecido bem rankeada, e você estará adentrando no scam atráves da pesquisa.

Se prive do erro humano de erro de digitação e da falta de atenção no google e salvem os dominios importantes que vocês precisam usar, por exemplo, recebi um email do santander (ou qualquer banco), verifique o dominio do email, ok parece real, não click no link pra ser redirecionado, vá no navegador, abra a pagina salva do santander ou na indicação do url baseada no histórico de pesquisas e entre na pagina e por fim prossiga com o que estava fazendo.

Vale indicar algumas extensões como por exemplo o ublock e o i dont care about cookies, uma boa configuracao do navegador pode te salvar tambem caso acabe em um site malicioso sem querer, assim como um firewall (eu uso do avast free e da conta), por fim tenham gerenciadores de senhas caso o pior aconteça! E não confiem em poloneses dizendo que querem te vender algo pq querem se desfazer, acreditem eu passei por isso haha

1
RavenaStar
Autor
Autor

Esses domínios você tem que fazer abuse report para as empresas registradora do domínio/host ou com o operador TLD("Top-level Domain"), você consegue os dados fazendo um whois e afins, como complemento você pode reportar para as empresas de segurança.

E as extensão tipo bloqueador de anúncio já entra um pouco em outro patamar de segurança já que bloqueadores de anúncio tem como foco principal bloquear propagandas e evitar cair em malvertising mesmo acessando sites legítimos e afins, não vai impedir o usuário cair em golpes desse tipo, mas um bloqueador de anúncio é bem útil e não é dispensável.

Como por exemplo a extensão TrafficLight ajuda a identificar visualmente se um domínio é suspeito ou não, além das seguranças dos próprios navegadores, mas nada é 100% seguro, sempre vamos ter que usar camadas e camadas de segurança.

Não recomendo o uso do Avast por motivos técnicos e diversos fatores recorrentes, geralmente vários especialistas da área de segurança recomendam o uso do kaspersky e afins.

Uso o Discord com bastante frequência então geralmente utilizo algumas API's tipo essa aqui https://sinking.yachts/docs/, além de usar as ferramentas que foram ditas nesse próprio artigo.

1
Ghizzi

Recomendei o uBlock origin porque ele tem uma gama de opcoes para o usuario definir sobre seguranca e exibir os dominios conectados na pagina, scripts sendo executados, criar seus proprios scripts, blacklist.. o i dont care about cookies e para nao exibir aquela aba de solicitacao de cookies que tambem podem roubar dados do usuario e convenhamos e um saco ter que discordar sempre sobre o uso de cookies.

Sobre o avast, para planos pagos realmente eu acho que o kaspersky compensa mais, porem o free funciona muita bem na minha experiencia pessoal e ta bem posicionado no av test.

No demais concordo com as dicas que voce deu e inclusive nao conhecia o TrafficLight, vou dar uma olhadinha!

1
RavenaStar
Autor
Autor

Sua sugestão do uBlock origin é válida e não estou discordando de você, porém o que quero informar é que o termo "bloqueador de anúncio" propriamente dito é relacionado à bloqueio de propaganda ("independentemente das features adicionais que cada bloqueador de anúncio tiver") ou seja não se enquadra 100% nesse artigo, pois o foco principal dos bloqueadores de anúncio não é bloquear phishing/scam, porém obviamente alguns tem features extras que possibilita essas ações, mas como o propósito do artigo é direcionado aos golpes de phishing/scam em relação ao usuário descobrir se é ou não um golpe com isso enfatizei apenas ferramentas de análises e só algumas de detecção e bloqueio.

eu uso uBlock origin desde 2016, então eu sei que ela é uma boa ferramenta.

1
1
1
1
joaovcoelho

Muito bom! Parabéns pelo artigo, Ravena!

Um adendo

As práticas de phishing ficam cada vez mais sofisticadas.

Agora (não sei há quanto tempo, mas me deparei recentemente e fiquei maravilhado (além de puto, claro kkkkk)) eles estão utilizando a possibilidade de se inserir login e senha direto pela URL no site navegador, e utilizando isso para ludibriar as pessoas.

Exemplo:

Destrinchando o pulo do gato...

Quando acessamos uma máquina por SSH, por exemplo, geralmente fazemos utilizando o formato ssh usuario@endereço-ip, certo?

Ocorre que é possível realizar autenticações desta forma em outros protocolos, e não só no SSH.

E o formato é usuario:senha@endereco-ip:porta

Então, o "pulo do gato" é que eles podem passar, literalmente, qualquer nome como sendo usuário. Oq, pr'um usuário leigo (ou desatento), vai passar totalmente despercebido, pq ele n vai se ligar de olhar a URL toda, e aí... já era.

Eu experienciei alguns navegadores que já identificam que a URL contém uma autenticação que a página em si nem tá pedindo, e ele informa que algo está estranho.

Extra - Teste prático

Vc pode testar seu navegador pegando algum link qualquer e fornecendo um usuário na URL, aí é possível ver se o seu navegador realiza o alerta, ou se não.

O Firefox para Android informa, como é possível ver abaixo
IMG-20230111-141159.jpg

Já o Brave (no Android, pelo menos), por outro lado, não detectou nada kkkk

Você pode testar sozinho, ou copiar e colar este https://sitemalicioso.com:@globo.com

1
RavenaStar
Autor
Autor

Eu sei que os ataques phishing/scam estão sofisticados, pois os golpistas fazem engenharia social em pessoas com isso elas cabam caindo no golpe, mas se tiver "mente fria" e usar as dicas que dei vai evitar cair em muitos dos golpes, porém nada é 100% infalível.

“Phishing é o tipo mais simples de ciberataque e, ao mesmo tempo, o mais perigoso e eficiente porque ele ataca o computador mais vulnerável e poderoso do planeta: a mente humana.”

1
joaovcoelho

Não, eu tô concordando com vc!

Tô fazendo só um complemento ao post pq essa informação eu vi acontecendo na prática e faz pouco tempo. Até agr n vi nenhum lugar falando sobre.

Então tô compartilhando com a galera essa genialidade dos caras q é mais mais recente, pq eu só fiquei sabendo pq mandaram uma parada dessa pra mim de forma inocente (tipo Burger King dando dinheiro se vc compartilhar o link) kkkkkk aí eu fui analisar e entendi o golpe

1
RavenaStar
Autor
Autor

Eu sei que você está concordando comigo, só dei informações extras em relação aos golpistas sofisticados, já que a tendência desses golpes é enganar o usuário e não a tecnologia em si.

1
ricardomaia

Gostei da iniciativa RavenaStar. Gosto desse tipo de conteúdo.

Só a título de exemplo, em uma PoC (Prova de Conceito) que realizei há alguns anos, utilizei como subterfúgio para "enganar" uma possível vítima, o emprego de um subdomíno bastante longo a fim de se passar pelo site original "escondendo" o real domínio na barra de endereços. Algo como:

https://www.google.com-search-q-long-subdomain-in-url.chrome.69i57j69i61j69i60j69i61-utf-8-source-tsa-Xved.2ahUKEwiHrbDSk8v8AhVhqZUCHXqTA3kQpwV6BAgBEBg-biw-1920.bih-929dpr1qdr.msxsrf-AJOqlzU8VcOtI0yD0QgDesN8NwEHnjq5pA1673839927635.example.com

E ainda utilizei um certificado SSL válido. Muitas vezes o olhar do usuário se acostuma a buscar ao que seria o TLD e não avalia o restante a URL. Nesse exemplo, é provável que o olhar se limitasse a www.google.com.

Eu outra situação explorei uma falha de Open Redirect em um site confiável, no qual o usuário era levado inicialmente para o site real, contudo, após a autenticação e, devido a falha de Open Redirect, eu levava o usuário para uma página falsa exatamente igual exibindo uma mensagem de "senha incorreta".

Nesse momento, muitos pessoas não verificam novamente a URL e inserem cuidadosamente a senha para não "errar novamente". Dessa forma eu poderia capturar a senha e então redirecionar o usuário de volta para o site real, onde ele já havia se autenticado da 1ª vez sem perceber e tudo parece ter fucionado como devia desta vez.

1
RavenaStar
Autor
Autor

Sempre é bom verificar a URL mais de uma vez em horários diferentes por causa do 0-day, fazer diversos scan/análise em várias plataformas de análise, quando o domínio tem algum redirect na raiz/matriz do site que é usado muitas vezes pra enganar a detecção de ferramentas de análise o macete é usar site_aqui/informação_adicinal_aqui, exemplo => google.com/RavenaStar daí em algumas ferramentas em vez de mostrar informação do domínio que foi redirecionado vai mostrar a informação do domínio que é responsável pelo redirect.

1