Pesquisadores da Varonis alertam que invasores estão utilizando URLs personalizáveis, também conhecidas como URLs de vaidade, em ofertas como serviços – SaaS, para criar links de phishing mais convincentes. A técnica é adotada para links gerados por meio do Box, Zoom e Google com nomes de companhias com credibilidade no mercado.
Cibercriminosos podem produzir endereços curtos de páginas na Internet, como este exemplo: app.example.com/s/1234 -, vinculados às plataformas e com o nome de uma empresa específica, convidando à participação em uma videoconferência ou ao compartilhamento de documentos on-line, por exemplo, e gerando ataques a partir disso.
“Enquanto URLs personalizáveis fornecem um link customizável e fácil de lembrar, o Varonis Threat Labs descobriu que algumas aplicações não validam a legitimidade do subdomínio do URL personalizado, a exemplo de :suaempresa.example[.]com, mas apenas validam o URI, como ‘/s/1234’”, destaca o vice-presidente da Varonis, Carlos Rodrigues.
“Como resultado, os agentes de ameaças utilizam suas próprias contas SaaS para gerar links para conteúdo malicioso como arquivos, pastas, páginas de destino, formulários etc., que parecem estar hospedados pela conta SaaS sancionada por outra empresa. Conseguir isso é tão fácil quanto alterar o subdomínio no link. Esses URLs falsificados podem ser usados para campanhas de phishing, ataques de engenharia social, ataques de reputação e distribuição de malware”, completa Rodrigues.
Ataques que aparentam legitimidade
O Box, serviço de armazenamento na Nuvem, oferece planos para negócios com a opção de customizar o subdomínio para acessar e compartilhar documentos. Quando um arquivo é compartilhado pelo Box, um link genérico é criado. A Varonis descobriu que, em alguns casos, invasores conseguem colocar qualquer nome de empresa no URL genérico que o link ainda funcionará, fazendo com que a URL pareça legítima.
Invasores ainda podem adicionar uma proteção com senha para o arquivo ganhar uma melhor aparência de segurança, ou uma logomarca para remeter à companhia que eles estão falsificando.
O Zoom também permite que organizações tenham uma URL customizável, como ex:suacompanhia.zoom.br.us, para páginas de registro em webinars, páginas de login de funcionários, reuniões, gravações, entre outras funcionalidades. A ferramenta possibilita o upload de logomarca e alteração de cores. Um invasor consegue mudar a URL de uma gravação dele para o domínio de uma companhia, para parecer que aquele conteúdo pertence a ela. Em alguns casos, isso gera um aviso de alerta ao usuário, indicando que aquele conteúdo é externo. Mas, em outros, é possível customizar a URL sem gerar o aviso. Uma página de registro em um webinar, por exemplo, pode ganhar o nome e logo de uma empresa com credibilidade, e esse formulário ser usado para capturar senhas e informações pessoais de funcionários daquela companhia.
Os especialistas constataram que outras ações parecidas podem ser realizadas nessas mesmas plataformas e também pelo Google Docs e pelo Google Forms. A Varonis alerta que URLs customizáveis são ferramentas interessantes para oferecer uma experiência personalizada a clientes, quando implementadas com segurança. Mas, como testado, essas URLs também podem ser falsificadas e, portanto, devem ser tratadas com cautela, como qualquer outro link que circule pela Internet.
Leia nesta edição:
MATÉRIA DE CAPA | TIC APLICADA
Campo digitalizado: sustentabilidade e eficiência
TELECOMUNICAÇÕES
Infra para Conectividade: competição quente
NEGÓCIOS
Unidos para inovar
Esta você só vai ler na versão digital
APLICAÇÃO
A boa gestão de mídias sociais fortalece a marca
Baixe o nosso aplicativo