Entendendo fraudes de URL de hoje em dia

Após uma investigação interna, realizada pela equipe de analistas do serviço de Proteção de Riscos Digitais da Telefónica Tech, um esquema muito mais complexo foi descoberto a partir de uma URL fraudulenta onde uma empresa do setor varejistase. O que a princípio parecia ser um site fraudulento isolado, acabou sendo um dos milhares de sites fraudulentos direcionados contra diferentes empresas do setor varejista que usavam a mesma estrutura.

A partir de uma captura de tela enviada por um usuário que tinha percebido que uma URL que ele estava acessando era possivelmente um site fraudulento, fomos capazes de localizar um esquema de fraude bastante complexo que tentou obter dados dos usuários em troca de um suposto cartão de presente no valor de €500. Na imagem enviada por este usuário, que era realmente uma captura de tela de seu dispositivo móvel, embora você pudesse ver o conteúdo da web, apenas uma parte da URL podia ser vista.

Pela nossa experiência em lidar com esse tipo de fraude, sabíamos que sem a URL completa de acesso à página em questão era muito difícil localizá-la. Na imagem fornecida você só podia ver o domínio da URL, informações em princípio insuficientes para poder acessar a fraude.

Uma das opções levantadas foi entrar no domínio no mecanismo de busca web, mas em vez de no mecanismo de busca normal, que não deu nenhum resultado viável para localizar a web fraudulenta, decidiu-se entrar no domínio no mecanismo de pesquisa de imagens caso obtivesse qualquer dado que pudesse ser útil. Essa opção acabou sendo a chave para desvendar que este site não era nada mais do que um grão de areia no deserto.

Uma das imagens associadas à pesquisa entrou, devolveu o ícone de uma caixa de presente com o logotipo da empresa que estava sendo personificada. Quando abrimos o link associado, fomos encaminhados para uma página da rede social Pinterest,onde um usuário estava compartilhando imagens associadas a esses golpes. Embora a maioria dos links associados a essas imagens localizadas nesta página do Pinterest não estivesse mais disponível, um deles nos referiu à fraude que estávamos procurando. Além disso, graças a esta página do Pinterest também descobrimos que essa fraude em questão não foi apenas dirigida contra nossa empresa inicial, mas contra várias empresas pertencentes ao setor varejista e que não afetou apenas a Espanha, mas foi uma fraude a nível internacional.

Uma vez que a URL completa foi localizada, além de pedir à nossa equipe de resposta para intervir para cancelar essa fraude, usamos uma ferramenta online popular que analisa qualquer URL e também é capaz de mostrar informações detalhadas de todos os recursos que solicita, para ver se conseguimos localizar mais fraudes semelhantes. Graças a essa pesquisa, encontramos uma série de URLs que utilizaram o mesmo esquema, suplantando várias das empresas do setor varejista que tínhamos localizado.

Nesse ponto e já tendo várias URLs diferentes para comparar, percebemos um fato crucial para a pesquisa e que foi que para todas as URLs localizadas para a mesma empresa, o mesmo identificador numérico estava sendo utilizado. Explicando de forma simples e para melhor compreensão, naquela época fomos capazes de replicar a fraude a partir de uma URL ou domínio que sabíamos que tinha esse engano associado, para cada uma das outras empresas cujo identificador único tínhamos localizado da seguinte forma:

http://dominio/c/identificadorempresa

Agora, apesar de tudo o que tínhamos descoberto, sabíamos que essa fraude tinha que ser muito maior. Portanto, uma vez que ficou claro que a estrutura utilizada nessas URLs era a mesma, pesquisamos e comparamos os endereços IP em que as fraudes estavam hospedadas, para ver se estavam hospedadas no mesmo endereço IP. Isso acabou sendo bastante benéfico, pois como achávamos, todas essas páginas estavam hospedadas no endereço IP 34.XX.XX.54. Procurando encontrar quais domínios estavam hospedados nesse endereço IP, conseguimos encontrar mais de 1500 domínios hospedados nele.

Finalmente, e a partir das informações de interesse que tínhamos: a lista dos domínios hospedados no endereço IP 34.XX.XX.54 e os identificadores exclusivos localizados para as diferentes empresas afetadas, desenvolvemos um script que estava formando as URLs para todos os domínios localizados adicionando o identificador correspondente e que, por sua vez, estava verificando as URLs resolvidas. Desta forma conseguimos localizar até 95 URLs ativos fraudulentos para nossa empresa inicial. A verificação se as páginas foram resolvidas ou não, nós introduzimos pelo simples fato de que muitas dessas fraudes não estavam mais disponíveis, entre outras razões porque nossa equipe de resposta já havia agido contra algumas delas.

Atualmente, embora muitas dessas fraudes não estejam mais ativas, muitas ainda estão operacionais e o serviço está procurando soluções para tentar agir em bloco contra todas as fraudes. Em suma, ao navegar pela Internet você tem que ter muito cuidado com esse tipo de sites fraudulentos que tentam obter informações de interesse e, em muitos casos, sensíveis de usuários sem noção.