Typosquatting: infecção de malware provocada por erros de digitação

  Há casos em que sites são comprometidos, com o objetivo de servirem para espalhar malware. Temos visto vários métodos que têm sido utilizados para levar os usuários a sites

 

Há casos em que sites são comprometidos, com o objetivo de servirem para espalhar malware. Temos visto vários métodos que têm sido utilizados para levar os usuários a sites maliciosos, um deles é conhecido como “typosquatting”.

É uma situação que pode passar com qualquer um: enquanto digitamos o endereço de uma página no navegador, errarmos alguma letra. Os cibercriminosos muitas vezes tiram proveito disso e levam os usuários a sites maliciosos em vez de levá-lo ao site que ele pretendia visitar. Isso é chamado de “typosquatting” – palavra composta por “typo” (tipografia) e squat (ocupar) -, também é conhecido como “desvio URL”, ou seja, sequestro de URL. Os cibercriminosos registram nomes de domínio que se parecem com outros domínios populares, e depois esperam que as vítimas o digitem por equívoco o nome de suas páginas web. Trata-se de um problema sério para as empresas, e algumas delas, cujos nomes foram abusados ​​por typosquatter, chegaram a entrar na justiça.

O typosquatting é uma ameaça também para os consumidores que, sem perceber, entram em páginas de spam ou, no pior dos casos, infectam seus próprios computadores com um malware. Vamos ver um exemplo real deste ataque.

Um caso típico de typosquatting: endereço do Gmail

Primeiro, vou explicar o esforço da Kaspersky Lab para reduzir o número de vítimas de infecção por malware. Quando encontramos sites comprometidos, tentamos chegar ao administrador para emitir um alerta. Na imagem abaixo está um exemplo real que encontramos. É a informação Whois de um site, que involuntariamente hospeda um malware. No campo “contato administrativo” (Administrative Contact), você verá o texto A *** 3JP”, se trata de um identificador JPNIC Handle (gerido por Japão Service Registry – JPRS), uma sequência alfanumérica muito útil para descobrir os administradores do site (em outros casos, os endereços de e-mail são registrados neste campo).

1

Vejamos quem são os administradores do domínio “A***3JP”:

2

O endereço de e-mail no campo “E-Mail” é a informação de contato da pessoa que deverá ser informada no caso de que algum cibercriminosos infecte com um malware seu site. Avisar aos administradores que não perceberam o problema é um dos passos importantes no processo de prevenção de malware para evitar que ele se espalhe ainda mais.

Olhando com mais atenção, notamos que há um erro no endereço de e-mail: parece um endereço normal do Gmail (xxx@gmail.com), mas na verdade não é, falta uma letra.

Em alguns países, o registro correto de informações sobre domínio é uma lei. No Japão, às vezes a informação registrada não é correta, e o pior é o fato de que as informações incorretas podem ser intencionalmente registradas. Se um endereço de e-mail cadastrado não é correto, não podemos alertar o administrador do site, que se tornará uma vítima dos cibercriminosos e, ao mesmo tempo, difundirá o malware a outros usuários de forma involuntária

Neste caso que apresentamos, há uma razão muito clara para este erro: era uma armadilha criada a partir do typosquatting, destinada a levar aos usuários a baixar um instalador falso e malicioso.

Ocorre que o site com um endereço similar ao Gmail está em diferentes idiomas de acordo com o ambiente de idioma do seu visitante, incluindo japonês, alemão, espanhol, italiano, holandês, polonês, português, russo, sueco e turco. Por razões desconhecidas, não havia opção no idioma inglês. Dê uma olhada nas imagens do site, aind que estejam em russo e japonês. É fácil perceber como as versões maliciosas se parecem com um site legítimo muito conhecido. Por isso, é compreensível que muitos usuários baixem e instalem objetos maliciosos sem suspeitar.

Tela em japonês:

3

E em russo:

4

Neste post, eu expliquei a importância do registro correto da informação de domínios e, com um exemplo concreto, como funciona o typosquatting. Está técnica não é nova: é um método clássico utilizado para enganar os usuários. É conhecido há vários anos, mas o número de vítimas continua aumentando em todo o mundo. É comum cometer erros de digitação e os cibercriminosos só esperam que os usuários caiam na armadilha com uma atitude passiva e, evidentemente, eficaz. Para não ser vítima do typosquatting, aconselhamos atualizar regularmente o sistema operacional do seu computador e manter-se atualizado sobre o seu antivírus. 

 

 

 

Tradução: Berenice Taboada Díaz

Dicas