Don’t Get Hooked by Phishing: Understanding Internet Domains – Pratum

Criminoso cibernético com campanha de phishing por e-mail

Phishing já existe há muito tempo, e os números de índice mais recentes mostram que os atacantes estão usando-o com entusiasmo.

Infoblox DNS Threat Index, Q2 Relatório Trimestral 2015

Os usuários finais da rede, como defensores da linha de frente, são um componente crítico do programa de segurança da informação de uma organização. Nos últimos anos, tópicos de conscientização e treinamento para usuários finais de rede têm incluído o phishing, devido tanto à sua natureza desenfreada quanto aos métodos cada vez mais sofisticados que os phishers usam para atrair as vítimas. Quando nossos consultores avaliam o risco dentro de uma organização e discutem com eles seus esforços de conscientização e treinamento de phishing, podemos ver orientações como “não clicar em links suspeitos” e “passar o ponteiro do mouse sobre links em um e-mail para verificar se é legítimo”. Entretanto, como avaliar se um link e o Uniform Resource Locator (URL) associado leva ou não a um site legítimo?

Para avaliar links e URLs, uma pessoa deve entender domínios genéricos de primeiro nível (gTLDs), TLDs com código de país (ccTLDs), e outros tipos de domínios da Internet. Para isso, este artigo fornece algumas informações de alto nível sobre leitura e interpretação de links/URLs.

Um breve histórico de domínios genéricos de primeiro nível

Todos estamos acostumados a ver gTLDs. Quase diariamente, usamos gTLDs, incluindo aqueles que nos são mais familiares, como .com, .gov e .edu. Eles são uma parte fundamental da estrutura da Internet. Eles também são bem compreendidos pelos phishers, que manipulam URLs para uso fraudulento. Para melhor avaliar os links dentro dos e-mails, assim como URLs dentro dos navegadores, é bom saber como os vários domínios evoluíram e como funcionam.

Em 1984, Request for Comments (RFC) 920 foi usado para definir os “domínios de propósito geral” originais – .com, .gov, .mil, .edu, e .org. Um outro domínio, .net, foi adicionado no início de 1985 e é também considerado um dos domínios “originais”. Em 1988, foi adicionado .int (internacional) para atender ao pedido de um domínio feito pela Organização do Tratado do Atlântico Norte. Ao longo dos anos, outros domínios foram adicionados, tais como .biz e .info (2001). No início de 2011, 22 gTLDs haviam sido estabelecidos. Em junho de 2011, a Corporação para Atribuição de Nomes e Números na Internet (ICANN) votou pela remoção de muitas das restrições aos pedidos e implementação de gTLDs, abrindo efetivamente a porta para quase todos os gTLDs a serem usados. De acordo com as novas regras, em maio de 2015, mais de 600 gTLDs, incluindo novos gTLDs como .auto, .computer, .network, .social, .pizza, .organic, haviam sido registrados e liberados para uso na Internet. Segundo alguns especialistas em segurança, essa evolução nos gTLDs é considerada um presente para os pescadores de phishing, pois lhes permitirá formar uma infinidade de novos sites de phishing. Para uma lista completa dos gTLDs expandidos, consulte o Banco de Dados de Zona Raiz da Autoridade para Atribuição de Números na Internet (IANA) (https://www.iana.org/domains/root/db).

TLDs com código de país

TLDs com código de país também fazem parte de muitos URLs, e, portanto, pode-se esperar vê-los em links de vez em quando. Os países têm ccTLDs para ajudar a distinguir em que país um site está registrado ou de onde é originário. Por exemplo, o ccTLD para os Estados Unidos, .us, é freqüentemente usado pelos governos estaduais e locais. Outros exemplos de ccTLDs são Austrália, .au; Japão, .jp; e Reino Unido, .uk. Ao ler um link ou URL, perceba que a localização do ccTLD dentro do URL pode mudar (no final de um URL, como http://www.gov.uk, ou antes em um URL, como https ://uk.news.yahoo.com).

Você Sabia?

Quatro países escolheram permitir que os seus ccTLDs sejam utilizados para fins comerciais. Por exemplo, .co, o ccTLD para a Colômbia, pode ser usado no lugar de .com. É muito popular, devido ao crescente domínio .com, e permite que as empresas tenham formas alternativas de formar nomes de websites.

Viu a URL http://o.co? Isso é Overstock.com fornecendo uma maneira alternativa para você chegar à empresa através do seu navegador.

Você pode ter visto youtu.be. Essa é uma URL legítima, registrada pelo Google usando o ccTLD da Bélgica, .be.

Much da indústria do entretenimento usa o ccTLD da Tavalu, .TV. É uma ótima maneira de a nação da ilha ganhar dinheiro.

Ao tentar determinar se um site é legítimo, perceba que muitos ccTLDs também são usados para fins comerciais. O que parece ser um site suspeito pode ser, na verdade, legítimo. Entretanto, ccTLDs também podem ser usados para formar nomes para sites de phishing, então quando em dúvida, não clique!

Como os links/URLs são formados

Então qual é a chave para ler URLs em links? A resposta básica é que, dentro de um link, o material importante está entre a dupla barra deslizante “//” e a primeira barra deslizante simples, principalmente na área destacada mostrada abaixo. Para interpretar a URL, vá para a primeira barra deslizante simples, e depois volte para cima a partir daí. Após a primeira barra de avanço, coisas como diretórios, subdiretórios, nomes de arquivos e tipos de arquivos são listados.

A estrutura de um link/URL

Nota: A estrutura acima é a divisão básica da URL. No lugar de http:// ou https://, você pode ver ftp://, gopher://, ou news://. Estes são diferentes tipos de protocolos de transferência. Além disso, embora www esteja em muitos URLs, ele não é um componente obrigatório. Você pode ver campos adicionais antes do gTLD e do nome de domínio/servidor secundário. Após a primeira barra de envio, você pode ver campos indicando datas, ou outras informações usadas para identificar um recurso.

Exemplo de links/URLs

Agora estamos armados com alguma informação de fundo, vejamos alguns exemplos.

  1. Estamos bastante acostumados a ver e usar sites comerciais, como por exemplo: http://www.amazon.com

    Este é um site bem conhecido, e a URL não inclui quaisquer modificações suspeitas.
    Avaliação: LEGIT!

  2. URLs podem ser formados de quase todas as maneiras. Isto facilita aos proprietários de sites a construção de nomes de sites únicos. Também torna fácil para os phishers fazer o mesmo, o que significa que eles podem construir nomes de sites que se aproximam muito dos nomes legítimos do site. Por exemplo, veja o que um simples período pode fazer com o nome de um site: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart

    Se uma pessoa clicar no link acima, em vez de ir para amazon.com, a pessoa seria direcionada para o site zon.com, que poderia ser um site registrado por phishers.
    Avaliação: SUSPECT!

  3. Como sobre este link? http://This endereço de e-mail está sendo protegido contra spambots. Você precisa habilitar o JavaScript para visualizá-lo./catalog

    Neste caso, uma pessoa seria direcionada para o endereço IP 66.161.153.155, não para o amazon.com. Se você vir um link/URL com um sinal “@”, tenha um cuidado especial. Os phishers usam rotineiramente esta tática de manipulação de URL.
    Avaliação: SUSPECT!

  4. E se vir este URL num link? http://209.131.36.158/amazon.com/index.jsp

    Esta URL é um pouco semelhante em função da URL em #3 acima. Uma pessoa seria direcionada para o endereço IP, não amazon.com, que é listado após a primeira barra de encaminhamento simples.
    Avaliação: SUSPECT!

  5. E se você vir um URL similar ao abaixo, ou, ao assistir ao carregamento de uma página da web, você vê algo similar a isso na barra de URL? http://www.google.com/url?q=http://www.badsite.com

    Este exemplo mostra uma URL que referenciaria uma pessoa de um site (neste caso, google.com) para outro site, badsite.com (note a nomenclatura “=http://” que permite isto). As referências não são em si más, mas uma referência pode levar a um site de phishing. Neste caso, o badsite.com não parece ser legítimo.
    Avaliação: SUSPECT!

  6. Sabia que?

    Você visita um site e vê “www1” ou “www2” (ou outro número) na URL. O que isso significa? Alguns sites podem ser muito populares e, portanto, têm múltiplos servidores trabalhando em uma configuração de balanceamento de carga para servir conteúdo quando solicitado. Algumas empresas optam por numerar os seus servidores. Então, se você vê um www1 ou www2 (ou outro www#), você está apenas vendo qual servidor # entre vários servidores está fornecendo o conteúdo. Com relação ao phishing, ver um www1, wwww2, etc., não é em si um indicador de um site de phishing.

    Para ajudar os usuários a determinar rapidamente os domínios de nível superior e secundário dentro de uma URL, algumas empresas e organizações começaram a usar o “destaque de domínio”. Quando um usuário visita um site, parte da URL irá escurecer após alguns segundos, deixando os domínios de nível superior e secundário escuros. Por exemplo:

    PayPal domain

    É sempre bom procurar sinais de um site legítimo e seguro: cadeado fechado, https://, e nome da empresa destacado em verde dentro da URL (como no exemplo do PayPal acima). Se o certificado de um site estiver expirado ou inválido, alguns navegadores, como o Internet Explorer e Firefox, ou serviços de segurança, avisarão os usuários. Uma pessoa pode se perguntar se é seguro prosseguir através do aviso. Neste caso, use outros indicadores disponíveis (reveja o URL novamente) para ajudar a determinar se o site é legítimo. Em caso de dúvida, não prossiga.

    Conclusão

    Phishing continua a ser um problema global, exacerbado por usuários que não estão conscientes das táticas de phishing, métodos de phishing cada vez mais sofisticados, e agora, um conjunto crescente de domínios genéricos de primeiro nível. Embora os links nos e-mails não sejam o único método que os phishers usam, é muito comum. Para reduzir os riscos colocados pelo phishing, é necessário saber como interpretar os links e os URLs associados.

    Se você estiver interessado em aprender mais sobre engenharia social, conscientização e treinamento, e serviços de avaliação de risco, por favor entre em contato conosco hoje.

Deixe uma resposta

O seu endereço de email não será publicado.