Brand Abuse, Digital Fraud

Como uma letra torna e-mails de phishing indetectáveis

Por André Luiz R. Silva em
COMPARTILHAR

Se você está bem antenado, já deve saber que falamos aqui recentemente sobre spear phishing, aquela fraude via e-mail enviada diretamente a uma pessoa ou grupo específicos, e também sobre golpes que mostram URLs exatas para enganar o visitante. Só que, para piorar, é chegado o momento em que essas duas táticas se entrelaçam: um estudo da Offensity mostrou que caracteres escondidos em alguns domínios do remetente não são detectados pelos principais serviços de Webmail!

 

Mais e-mails de phishing, com sofisticações!


Todo o estudo da Offensity funcionou por meio do registro de um domínio que utilizou unicodes, que são aqueles caracteres especiais que não estão no alfabeto das línguas de origem latina (como é o nosso caso). 

Em golpes de cybersquatting (o registro mal-intencionado de domínios similares), os caracteres unicode são geralmente extraídos do alfabeto cirílico, que é utilizado por línguas como o russo. A grande sacada é que, quando exibidas da forma correta (sem erros de visualização), essas letras podem ser idênticas a uma letra do alfabeto latino.

Para fazer esse teste nos e-mails, o pessoal da Offensity então cadastrou um domínio com o nome de а1.digital. Parece não conter nada demais? Bem, o primeiro “a” desse domínio na verdade vem do alfabeto cirílico. Quando lido “da forma incorreta”, adaptado para o nosso alfabeto, ele aparece assim:

xn--1-7sb.digital

Totalmente diferente, né? A esse sistema de conversões de caracteres que não podem ser lidos no sistema/alfabeto romano, damos o nome de punycode. Entretanto, a grande questão aqui é que somente alguns locais conseguem fazer essa conversão – em outros, o “a” vai aparecer naturalmente como um caractere que é praticamente idêntico ao do alfabeto latino. 

Com isso, é possível pensar em inúmeras possibilidades de tantos outros domínios que podem confundir uma pessoa (mesmo a mais experiente em segurança digital!) quanto à veracidade de um conteúdo. O caminho mais óbvio para um cibercriminoso é, então, a criação de phishings para a captura de dados sensíveis, como logins, senhas e números de cartões de crédito.

 

O problema de punycode dos principais serviços de Webmail


Para testar quais e-mails não mostrariam os caracteres punycode para o usuário (podendo fazer com que caia em golpes de phishing), a Offensity testou o envio de e-mail e a opção de resposta das mensagens em 7 diferentes produtos: Outlook (desktop e mobile), Office365 Web, Gmail (web e mobile), Apple Mail (para iPhone) e Thunderbird (Mozilla).

De todos, somente o Outlook em versão mobile e o Apple Mail para iPhone mostraram a verdadeira faceta do punycode no recebimento e na hora de responder ao e-mail do destinatário que usava o domínio criado. Já o Gmail em versão web foi o único que percorreu metade do caminho, desmascarando o problema somente na hora de clicar em “responder”.

O que isso tudo quer dizer, afinal? Fazendo algumas contas, os resultados desse teste mostram que a taxa de sucesso para que um usuário dos principais serviços de Webmail confira que o domínio não é o que parece é de apenas 35,7%.

 

Qual a melhor estratégia para evitar os logros de unicode?


Bem, para evitar ser pego por domínios unicode com intenções fraudulentas você pode iniciar com um olho mais clínico. Agora que você já sabe da existência desses perigos – e como o primeiro passo para várias coisas na vida é o conhecimento –, talvez seja uma boa ideia ver como esses caracteres são obtidos. Assim como é fácil para um fraudador conseguir um caractere do cirílico por meio de uma pesquisa no Google, também o caminho inverso é bem fácil de fazer.

Em um site como o Punycoder é possível colocar caracteres e frases (ou um texto inteiro, se preferir) que foram escritos em unicode para que apareçam com o famigerado “xn--” na parte da frente. Mas, considerando que essa deveria ser uma responsabilidade dos serviços de Webmail, parece que seria bem custoso a um usuário colocar todos os domínios de e-mail recebidos em um “verificador” externo, não é mesmo?

 

A solução final: proteção de marca e de domínios

Pois é! A boa e velha preocupação de uma empresa com aquilo que está sendo dito ou feito com sua marca parece que também deve abarcar as novas tecnologias (e atualizações dos cibercriminosos). Pensando em problemas como os unicodes, uma boa e necessária estratégia para empresas que desejam proteger sua reputação on-line é o monitoramento de domínios.

Funciona assim: você encontra uma solução e/ou produto de monitoramento que inclua planejamento estratégico das funções unicode e, depois, é só aguardar os alertas chegarem assim que um domínio similar ao da sua marca, com qualquer mudança de caracteres, for registrado. Uma sugestão? Conheça o Digital Brand Compliance e o Digital Fraud Discovery e veja o que podemos fazer por você.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz R. Silva

Estudante de Jornalismo na UFRGS e Content Creator da Axur, responsável pelo Deep Space e atividades de imprensa. Por aqui, também já analisei muitos dados e fraudes como membro da equipe de Brand Protection. Em resumo: trabalhar com tecnologia, informação e conhecimento em conjunto é um dos meus maiores amores!