TypoSquatting: usando seu cérebro para enganá-lo

O cérebro é incrível e evoluiu ao longo de milhares de anos para simplificar a vida ou reduzir o tempo de processamento em coisas que considera desnecessárias. Uma delas é ler cada letra em um texto escrito, que pode ser verificado de várias maneiras, como nos três exemplos a seguir:

Por que isso acontece?

Isso se deve à maneira como aprendemos a ler, porque, inicialmente, vemos apenas imagens e só depois de entendê-las, quando começamos a fazer a associação com sons e palavras. Quando estamos acostumados a ler as mesmas palavras por um longo tempo, nosso cérebro coloca palavras onde elas não substituem ou imediatamente substituem os números pelas letras correspondentes ou podem ler quando são escritas ao contrário, entre muitas outras coisas.

Sem dúvida, essa capacidade cerebral é incrivelmente poderosa, mas também gera alguns riscos de segurança cibernética devido à possibilidade que ela oferece para enganar facilmente. Por exemplo, se você receber uma mensagem dizendo «www.gooogle.com», não perceberá que «goooge» possui três «o» em vez dos dois que o site real possui.

O que é TypoSquatting

Por muitos anos, os cyber criminosos perceberam que é possível usar essa habilidade contra nós. As campanhas de phishing usam essas pequenas alterações no texto para enganar os usuários, sendo muito eficazes se estiverem associadas a sentimentos de medo ou impacto econômico. Esse tipo de ameaça foi chamado de TypoSquatting .

Com a atual crise de saúde causada pelo Covid-19, o uso dessa técnica aumentou significativamente. Uma das entidades que mais foi usada para gerar esses boatos é a Organização Mundial de Saúde, que teve que publicar uma declaração expressa de segurança cibernética para tentar mitigar os danos causados ​​por esses boatos.

Um dos milhares de exemplos está em um dos sistemas de rastreamento de pandemia que foram gerados, chamado coronatracker.com , que é usado como base para diferentes mutações no typosquatting , como podemos ver abaixo:

Para resumir a análise, apenas o segundo domínio detectado será utilizado, coronatracker.info, que usa a técnica de alterar o domínio raiz ( com para obter informações ) para que a vítima, ao se concentrar no nome da página, não perceba nenhuma outro dos detalhes. Neste outro exemplo abaixo, um SMS tenta enganar o usuário usando o domínio de um banco, alterando o domínio raiz de com para um.

Analisando coronatracker.info com nossa ferramenta TheTHE, você pode ver como essa farsa do TypoSquatting oculta um site dedicado ao envio de phishing e que o domínio foi criado na primeira semana da pandemia, como milhares de outras que surgiram. Usando o IP, vemos, na primeira imagem, que ele já foi relatado no AbuseIP por ser um IP suspeito e, no segundo, vemos como a análise com o Maltiverse o detecta como malicioso.

Usando o domínio, parece que isso já foi relatado no Virus total e que ele adiciona que responde a 9 endereços IP diferentes.

Como você pode ver, os criminosos não perdem a oportunidade de implantar malware . Essa tempestade de eventos desencadeados pela pandemia é o momento perfeito para usar todos os mecanismos à sua disposição para acessar dados pessoais, dados comerciais, dados financeiros ou simplesmente máquinas que podem ajudá-lo a obter mais vítimas.

Essas técnicas não são aplicadas apenas em domínios, mas também em aplicativos móveis, pacotes de software de desenvolvimento , e-mails, mensagens instantâneas, SMS e qualquer outro meio que possa ser usado para fazer as vítimas clicarem no link.

Diego Samuel Espitia
@dsespitia