Cuidado com estas ameaças: typosquatting, doppelganger domains e IDN phishing


Projetado pelo Freepik

Por Mark W. Datysgeld

Projetado pelo FreepikOs domínios de websites servem como principal método de conectar usuários a conteúdos na internet. É difícil imaginar uma rede inclusiva na qual fosse necessário digitar endereços de IP em vez de palavras para acessar informações. Devido a essa importância, o valor monetário estimado de grandes domínios supera os milhares ou milhões de dólares. Tal visibilidade faz também com que esses se tornem alvos de atores maliciosos que buscam meios de se beneficiar de popularidade de websites já estabelecidos, usando o poder do nome de uma empresa ou causa para atingir objetivos maliciosos. Discutiremos brevemente neste artigo três práticas que não são tão amplamente comentadas, mas que podem ameaçar qualquer domínio da rede: typosquatting, doppelganger domains e IDN phishing.

Publicidade

Devemos pensar primeiramente nos motivos por trás da criação de um domínio que finge ser legítimo. Para ilustrar melhor, dividiremos o tipo de ação para as quais eles são utilizados em duas categorias: ativa e passiva. No caso da ação ativa, o propósito é que uma vez que o usuário chegue ao domínio falso, ocorra a tentativa de instalação de malware em sua máquina ou do roubo de suas credenciais ou dados pessoais por meio da exibição de uma réplica da página correta. Esse é o uso mais fácil de ser imaginado, mas certamente não é o único.

A ação passiva é bastante abrangente. Por exemplo, pode ser feito um redirecionamento de tráfego para um website competidor que preste serviços similares, tirando audiência do website legítimo. Pode também se usar o domínio falso para gerar renda de publicidade e exibir promoções falsas, ou ainda simplesmente para captar e-mails mandados erroneamente para o domínio, que podem conter informações sigilosas ou serem usados para iniciar comunicação maliciosa. Por fim, o domínio pode ser mantido como refém, forçando a empresa legítima a pagar para obter controle sobre ele e poder encerrar suas atividades.
Mas como são feitas essas ações? Esse é o cerne de nosso artigo. Um método é o typosquatting, no qual o ator malicioso registra domínios parecidos com o legítimo, com a única diferença sendo uma ou duas letras usadas de forma diferente, seja por posicionar fora da ordem correta (em vez de microsoft.com, registar micorsoft.com), fazendo uso de erros ortográficos, ou usando variantes como plurais. Um método que por vezes é combinado a essa técnica é o uso de um TLD (definição) diferente, fazendo registro de um domínio .net em vez de .org, por exemplo.

Um dos casos mais famosos de typosquatting é o domínio Goggle, que definitivamente não é controlado pela Google, mas que gera dor de cabeça para a gigante das buscas, pois vem sendo usado desde 2006 para diversos propósitos ilegítimos, como instalação de malware e golpes envolvendo o envio de mensagens SMS. Em 2011, a Google não conseguiu justificar a ilegitimidade do domínio dentro do fórum de resolução de disputas dessa natureza, e o domínio segue em atividade. Outro caso de interesse é o twiter.com, que usa apenas um “t” em seu nome e atua de modo similar.

Os doppelganger domains são um pouco mais complexos, mas perigosamente eficientes. Nesse caso, se tira proveito da divisão entre domínio e subdomínio utilizada por muitos websites (como mail.provedor.com) e simplesmente se registra um domínio igual, mas sem o ponto separador (como mailprovedor.com). O perigo desse ataque é que mesmo que o usuário preste atenção e cheque que as palavras estão corretas, ele não vai achar nenhum erro aparente, a não ser que tenha conhecimento técnico para entender o que é um subdomínio.

Os pesquisadores da GodaiGroup, que documentaram essa técnica em um paper de 2011, apontaram que, das empresas listadas como maiores do mundo na Fortune 500, 151 estavam vulneráveis; um número muito expressivo. A pesquisa também apontou que existem diversos domínios ativos comprometidos dessa maneira, como a IBM em relação aos domínios “caibm.com” e “seibm.com”, os quais os pesquisadores sugerem que são usados para captar e-mails mal direcionados.
O IDN phising é uma modalidade que aparece como consequência da aprovação pela Icann, em 2003, dos nomes de domínio com caracteres não latinos, os chamados Internationalized Domain Names (IDNs).

Um fator a mais foi adicionado em 2010, quando começaram a ser habilitados os primeiros ccTLDs (definição) não latinos, tornando possível que os domínios como um todo sejam escritos com caracteres de outro alfabeto. O problema disso, em princípio, é que diversas letras de outros alfabetos se parecem com as do alfabeto latino, o que possibilita substituições que ajudam o registro de domínios falsos.

Os alfabetos armênio, cirílico, e grego dispõem de letras que facilmente podem ser usadas para fazer substituições e confundir usuários. Para dar um exemplo, usaremos o domínio linkedin.com, aqui escrito da maneira tradicional. Agora na repetição, no entanto, o domínio está escrito usando uma letra do alfabeto cirílico: linkedin.com. Notou a diferença? Normalmente não deve ser possível fazer a distinção entre o “i” latino e o “i” cirílico, mas ambos são letras diferentes, e contam também como domínios diferentes na hora de ser fazer o registro. Existem certas medidas sendo implementadas para impedir situações como essa, mas não se aplicam a todos os casos e podem deixar brechas em aberto.

Como se proteger desse tipo de situação? No caso de domínios de alta visibilidade, ou até mesmo de visibilidade média, é uma ideia valiosa garantir a compra de alguns domínios que correspondam a erros comuns que ocorreriam na digitação de sua URL. Também pode não ser má ideia assegurar outros TLDs, mesmo que se tenha uma preferência por usar um em específico como o principal. Não existe necessidade ou possibilidade de se olhar para toda e qualquer potencial variação do domínio, mas o custo de assegurar alguns domínios-chave é justificável, visando evitar problemas futuros. No caso dos doppelgangers, se possível devem ser registradas as combinações de subdomínio com domínio que o website faz uso, algo tão logo quanto o subdomínio começar a ser usado.

 

Mark W. Datysgeld é especialista em governança da internet e nos impactos da revolução digital na formação de normas. Integra o grupo de estudos NEAI e coordena o curso Governance Primer, iniciativa gratuita de ensino de tecnologia na América Latina.

Previous Anatel libera outorga mas vai exigir credenciamento de provedores
Next Abranet lança projeto Brasil Conectado a 100 Gbits

No Comment

Leave a reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *