Websense ALERTA - farsa nas "colméias virtuais", sites falsos...

Somos submetidos a golpes diversos todos os dias! Tropeçamos em e-mails com spam, phishing, anexos maliciosos, sites infectados, aplicativos malignos, etc. Vez por outra surge uma nova ameaça e é sobre isso que a Websense vem alertar por meio da nota que replico abaixo. É ao mesmo tempo interessante, criativo e execrável!!

Trata-se de uma “colmeia” (aposto que você como eu não tinha ainda ouvido esta palavra neste contexto de segurança e ameaças), um servidor que hospeda dezenas de domínios falsos. Mas falsos como? Na verdade são domínios, sites, cujos nomes são variações de nomes de sites corretos youtibe.com ou hntmail.com, etc. O efeito prático disso é que a pessoa acha que digitou o site certo e é levada para um sites falsos que visam roubar informações, dados pessoais, dados de cartão de crédito,etc. e se utilizam do expediente, por exemplo, de oferecer brindes. A pessoa crédula que é da idoneidade do site que ela já conhece pode embarcar nessa canoa furada sem ao menos perceber. Leia na íntegra a nota abaixo e trema, como eu tremi. Mas a partir de agora fique atento aos endereços que digita e os respectivos sites.

Flavio Xandó

   

Blog do Websense Security Labs:  Sem sono? Vamos contar typosquats

A rede Websense® ThreatSeeker® descobriu uma colmeia hospedando centenas de typosquats (domínios com nomes que se aproximam de marcas famosas para captar visitantes que digitam o endereço incorreto).  Esta colmeia está constantemente em movimento para evitar detecção.  Várias marcas populares estão em uso - você consegue diferenciar entre os endereços fraudulentos e os verdadeiros?

Depois de uma análise mais aprofundada, descobriu-se uma conexão entre esses hosts:

1. A maioria utiliza o mesmo endereço IP 208.73.210.128.
2. Levam a sites de pesquisa fraudulentos e sites de spam.
3. Tentam se esconder alterando os sites periodicamente, alternando o conteúdo do site e colocando uma página de domínio estacionado.

"Os usuários estão sempre ocupados e é fácil cometerem erros de ortografia enquanto navegam na Internet. E é exatamente com isso que contam os cibercriminosos, aproveitando os typosquats de domínios conhecidos. O Websense Security Labs descobriu essa colmeia de typosquats com centenas de hosts que direcionam o visitante para sites de spam e pesquisas fraudulentas, pedindo informações pessoais e dados de cartões de crédito. Golpes  como esse abrem portas para o malware e sem um sistema de segurança em camadas, os 'dedos gordos' podem resultar em carteiras mais magras e deixar as empresas vulneráveis à perda de dados", disse Carl Leonard, Gerente Sênior de Pesquisa em Segurança da Websense.

Vamos usar um desses hosts para demonstrar como uma vítima pode ser levada de um typosquat para um site fraudulento: por exemplo, digitando hxxp://youtibe.com redireciona o usuário para um site fraudulento, hxxp://socialsurvey.chattycatty.com/.

Múltiplas visitas ao mesmo host recebem páginas diferentes que incluem pesquisas fraudulentas, o preenchimento de formulários e sites de spam. Um exemplo (veja as imagens de tela abaixo) atrai e redireciona usuários para um site que usa o mesmo tema que o "Youtube" onde devem preencher uma pesquisa que promete a oportunidade de receber um dos brindes listados depois de concluir o formulário.

Depois de concluir a "pesquisa", o usuário tem a opção de comprar uma assinatura mensal e de custo reduzido com a atração de outro brinde. Depois, o usuário deve inserir os dados do seu cartão de crédito. A pegadinha está em "termos e condições", onde diz que o brinde é contabilizado por terceiros e nenhum valor de assinatura será devolvido.

Felizmente, a Websense protege seus usuários contra esse tipo de ameaça com seu Websense ACE (Advanced Classification Engine).