Os sites de marcas mais populares usadas em campanhas de “typosquatting”
Os sites mais imitados que hackers com motivação financeira e que roubam credenciais têm recorrido para imitar incluem Wells Fargo, Netflix, Facebook e Microsoft, de acordo com uma nova pesquisa da Palo Alto Networks publicada na terça-feira.
Algumas das outras marcas importantes que os hackers imitaram com typosquatting , uma técnica que depende das vítimas olhando para erros de digitação em nomes de sites que parecem semelhantes a outros sites legítimos populares, também incluem PayPal, Apple, Royal Bank of Canada, LinkedIn, Google, Apple’s iCloud, Bank of America, Dropbox, Amazon e Instagram, de acordo com a pesquisa, que examina dados coletados em dezembro de 2019.
Os hackers têm usado esses domínios maliciosos para distribuir malware, recompensar golpes, executar campanhas de phishing e golpes de suporte técnico, disseram os pesquisadores da Unidade 42 da Palo Alto Networks em um blog. De quase 13.857 domínios invasores registrados em dezembro, 18,59% são maliciosos, “muitas vezes distribuindo malware ou conduzindo ataques de phishing”.
Typosquatting tem sido uma tática favorita para invasores que procuram roubar informações e credenciais confidenciais, em parte porque não custa muito para iniciar. Os pesquisadores da Unidade 42 mostram que os criminosos estão interessados em sites de mídia social, financeiros , de compras e bancários, onde os consumidores podem ser alvos lucrativos.
Por exemplo, a Unidade 42 detectou uma campanha que imitava o Wells Fargo com um domínio de fraude – secure-wellsfargo [.] Org – que apresentava às vítimas uma cópia do site do Wells Fargo, mas que é capaz de roubar os PINs de ATM e as credenciais de e-mail do usuário.
Um domínio malicioso que os pesquisadores da Unidade 42 pegaram – samsungeblyaiphone [.] Com – distribuiria o Azorult, malware que rouba credenciais e informações de cartão de pagamento. Esta campanha também pode ter como alvo vítimas com downloads subsequentes de outro malware. Os hackers têm usado outros domínios falsos maliciosos, incluindo walrmart44 [.] Com, para atingir os usuários com uma mensagem pop-up avisando falsamente os usuários que o Adobe Flash Player precisa de uma atualização. Se os usuários caírem no truque, eles serão alvos de “programas potencialmente indesejados”, como spyware, de acordo com a Unidade 42.
Os pesquisadores descobriram que o Cloudflare foi o site de typosquatting de autoridade de certificação mais frequente abusado em dezembro de 2019, provavelmente porque o Cloudflare oferece hospedagem na web e criptografia SSL gratuita em um pacote. Uma segunda escolha próxima para os invasores era a autoridade de certificação do cPanel.
E embora esquemas de domínio de typosquatting maliciosos sejam bastante comuns, muitos fornecedores de segurança não estão adequadamente preparados para se proteger deles, observam os pesquisadores.
“O fornecedor de melhor desempenho cobre cerca de 25% dos domínios invasores maliciosos ou de alto risco que detectamos. Enquanto isso, outros fornecedores cobrem menos de 20% de nossas detecções ”, escrevem os pesquisadores. “Por último, descobrimos que 55% dos domínios invasores maliciosos ou de alto risco não são detectados por nenhum fornecedor.”
Nos últimos dias, os hackers adotaram o typosquatting para imitar sites relacionados à eleição presidencial de 2020 , de acordo com um boletim do Departamento de Segurança Interna, sugerindo que os hackers estão interessados em usar o typosquatting por motivos políticos ou de influência.
Este ano, a comunidade de inteligência dos Estados Unidos avaliou que o Irã, a Rússia e a China estão interessados em influenciar as eleições presidenciais de 2020, de acordo com o Escritório do Diretor de Inteligência Nacional.
Não ficou claro quem estava se aproveitando de cada um dos domínios maliciosos, mas os hackers ligados aos governos iraniano, chinês e russo já usaram typosquatting em campanhas de espionagem, de acordo com pesquisadores de segurança. Não estava claro se os pesquisadores da Unidade 42 de typosquatting identificados estavam sendo usados com objetivos de influência em mente.
