Varonis alerta sobre riscos com URLs falsas em grandes plataformas de Nuvem

Pesquisadores da Varonis alertam que invasores estão utilizando URLs personalizáveis, também conhecidas como URLs de vaidade, em ofertas como serviços – SaaS, para criar links de phishing mais convincentes. A técnica é adotada para links gerados por meio do Box, Zoom e Google com nomes de companhias com credibilidade no mercado.

Cibercriminosos podem produzir endereços curtos de páginas na Internet, como este exemplo: app.example.com/s/1234 -, vinculados às plataformas e com o nome de uma empresa específica, convidando à participação em uma videoconferência ou ao compartilhamento de documentos on-line, por exemplo, e gerando ataques a partir disso.

“Enquanto URLs personalizáveis fornecem um link customizável e fácil de lembrar, o Varonis Threat Labs descobriu que algumas aplicações não validam a legitimidade do subdomínio do URL personalizado, a exemplo de :suaempresa.example[.]com, mas apenas validam o URI, como ‘/s/1234’”, destaca o vice-presidente da Varonis, Carlos Rodrigues.

“Como resultado, os agentes de ameaças utilizam suas próprias contas SaaS para gerar links para conteúdo malicioso como arquivos, pastas, páginas de destino, formulários etc., que parecem estar hospedados pela conta SaaS sancionada por outra empresa. Conseguir isso é tão fácil quanto alterar o subdomínio no link. Esses URLs falsificados podem ser usados para campanhas de phishing, ataques de engenharia social, ataques de reputação e distribuição de malware”, completa Rodrigues.

Ataques que aparentam legitimidade
O Box, serviço de armazenamento na Nuvem, oferece planos para negócios com a opção de customizar o subdomínio para acessar e compartilhar documentos. Quando um arquivo é compartilhado pelo Box, um link genérico é criado. A Varonis descobriu que, em alguns casos, invasores conseguem colocar qualquer nome de empresa no URL genérico que o link ainda funcionará, fazendo com que a URL pareça legítima.

Invasores ainda podem adicionar uma proteção com senha para o arquivo ganhar uma melhor aparência de segurança, ou uma logomarca para remeter à companhia que eles estão falsificando.

O Zoom também permite que organizações tenham uma URL customizável, como ex:suacompanhia.zoom.br.us, para páginas de registro em webinars, páginas de login de funcionários, reuniões, gravações, entre outras funcionalidades. A ferramenta possibilita o upload de logomarca e alteração de cores. Um invasor consegue mudar a URL de uma gravação dele para o domínio de uma companhia, para parecer que aquele conteúdo pertence a ela. Em alguns casos, isso gera um aviso de alerta ao usuário, indicando que aquele conteúdo é externo. Mas, em outros, é possível customizar a URL sem gerar o aviso. Uma página de registro em um webinar, por exemplo, pode ganhar o nome e logo de uma empresa com credibilidade, e esse formulário ser usado para capturar senhas e informações pessoais de funcionários daquela companhia.

Os especialistas constataram que outras ações parecidas podem ser realizadas nessas mesmas plataformas e também pelo Google Docs e pelo Google Forms. A Varonis alerta que URLs customizáveis são ferramentas interessantes para oferecer uma experiência personalizada a clientes, quando implementadas com segurança. Mas, como testado, essas URLs também podem ser falsificadas e, portanto, devem ser tratadas com cautela, como qualquer outro link que circule pela Internet.