# TabNews: O Phishing
O relatório de ameaças de phishing da Cloudflare para 2023 destaca que ataques cibernéticos iniciados por phishing continuam sendo uma ameaça significativa, com estima-se que 90% dos ataques bem-sucedidos começam com phishing por e-mail. Durante o período de maio de 2022 a maio de 2023, a Cloudflare processou aproximadamente 13 bilhões de e-mails, bloqueando cerca de 250 milhões de mensagens maliciosas. O relatório também se baseia em uma pesquisa encomendada pela Cloudflare com 316 tomadores de decisão de segurança na América do Norte, EMEA e APAC. O relatório enfatiza três pontos-chave:
- Links enganosos são a principal tática de phishing, com os invasores evoluindo como eles conseguem fazer você clicar e quando armazenam o link.
- A decepção de identidade assume múltiplas formas, incluindo comprometimento de e-mail empresarial (BEC) e falsificação de marca, e pode facilmente contornar padrões de autenticação de e-mail.
- Os invasores fingem ser centenas de diferentes organizações, mas principalmente imitam entidades nas quais confiamos e precisamos para trabalhar.
Diante desse fato se faz necessário ter conscientização sobre phishing. Principalmente se você é dono, de uma organização empresarial ou não, deve enfatizar sobre esse assunto com seus colaboradores.
Por quê é preocupante, ainda quando se trata de domínios?
Como exemplo, usarei a url:
tabnews.com.br.
Primeiro caso:
https://www.tabnewss.com.br/login
Perceba que introduzi um "s" a mais. Quando compartilhado à alguém, pode ser que os olhos humanos não seja perceptível no primeiro momento, a menos, que você não tenha caído nessa.
Segundo caso:
Desenvolvido um script em python, pôde criar diversas possibilidades de domínio. Se eu consegui, imagine um criminoso.
import idna
# Função para gerar variações com caracteres especiais
def gerar_variacoes(dominio_base):
variacoes = set()
substituicoes = {
'a': ['á', 'à', 'â', 'ä'],
'e': ['é', 'è', 'ê', 'ë'],
'u': ['ú', 'ù', 'û', 'ü'],
'n': ['ñ'],
}
def substituir_caracteres(dominio, pos):
if pos >= len(dominio):
return [dominio]
variacoes_pos = []
if dominio[pos] in substituicoes:
for substituicao in substituicoes[dominio[pos]]:
nova_variacao = dominio[:pos] + substituicao + dominio[pos+1:]
variacoes_pos.extend(substituir_caracteres(nova_variacao, pos+1))
variacoes_pos.extend(substituir_caracteres(dominio, pos+1))
return variacoes_pos
variacoes.update(substituir_caracteres(dominio_base, 0))
return list(variacoes)
# Gerar as variações do domínio
dominio_base = "tabnews.com.br"
variacoes_dominio = gerar_variacoes(dominio_base)
# Converter para Punycode
dominios_punycode = [idna.encode(dominio).decode('ascii') for dominio in variacoes_dominio]
# Print das variações em Punycode
for dominio in dominios_punycode:
print(dominio)
Essa técnica se chama punycode. Punycode é uma codificação especial usada para converter caracteres Unicode em ASCII, que é um conjunto de caracteres menor e restrito. Punycode é usado para codificar nomes de domínio internacionalizados (IDN). Exemplo, é o caso do caractere Russo. Conhecido como "alfabeto cirílico".
Veja os resultados deste código, mais sua conversão:
| Domínios codificados por IDN | Domínios Unicode |
|---|---|
| xn--tbws-boa7b3c.com.br | tâbñéws.com.br |
| xn--tbws-boa1b0d.com.br | tâbñèws.com.br |
| xn--tbws-boa3c7b.com.br | tâbñêws.com.br |
| xn--tbws-boa9czb.com.br | tâbñëws.com.br |
| xn--tbews-3qa0i.com.br | tâbñews.com.br |
| xn--tbnws-3qa5c.com.br | tâbnéws.com.br |
| xn--tbnws-3qa8b.com.br | tâbnèws.com.br |
| xn--tbnws-3qa2d.com.br | tâbnêws.com.br |
| xn--tbws-5na7bxd.com.br | tábñèws.com.br |
| xn--tbws-5na9c6b.com.br | tábñêws.com.br |
| xn--tbews-xqa7i.com.br | tábñews.com.br |
| xn--tbnws-xqa2d.com.br | tábnéws.com.br |
| xn--tbnws-xqa5c.com.br | tábnèws.com.br |
| xn--tbnws-xqa9d.com.br | tábnêws.com.br |
| xn--tbnws-xqa6e.com.br | tábnëws.com.br |
| xn--tbnews-pta.com.br | tábnews.com.br |
| xn--tabws-dsa9c.com.br | tabñéws.com.br |
| xn--tabws-6ra6d.com.br | tabñèws.com.br |
| xn--tbnws-3qa9d.com.br | tâbnëws.com.br |
| xn--tbnews-wta.com.br | tâbnews.com.br |
| xn--tabws-jsa2c.com.br | tabñêws.com.br |
| xn--tabws-psa5b.com.br | tabñëws.com.br |
| xn--tabews-ywa.com.br | tabñews.com.br |
| xn--tabnws-eva.com.br | tabnéws.com.br |
| xn--tabnws-6ua.com.br | tabnèws.com.br |
| xn--tabnws-lva.com.br | tabnêws.com.br |
| xn--tabnws-sva.com.br | tabnëws.com.br |
| tabnews.com.br | tabnews.com.br |
| xn--tbws-0na3c6c.com.br | tàbñèws.com.br |
| xn--tbws-0na5d5b.com.br | tàbñêws.com.br |
| xn--tbws-0na1exb.com.br | tàbñëws.com.br |
| xn--tbews-rqa4j.com.br | tàbñews.com.br |
| xn--tbnws-rqa9d.com.br | tàbnéws.com.br |
| xn--tbnws-rqa2d.com.br | tàbnèws.com.br |
| xn--tbnws-rqa6e.com.br | tàbnêws.com.br |
| xn--tbnws-rqa3f.com.br | tàbnëws.com.br |
| xn--tbws-5na3czc.com.br | tábñéws.com.br |
| xn--tbws-5na5dyb.com.br | tábñëws.com.br |
| xn--tbws-0na9cxc.com.br | tàbñéws.com.br |
| xn--tbnews-ita.com.br | tàbnews.com.br |
| xn--tbws-loaz6d.com.br | täbñèws.com.br |
| xn--tbws-loa1byc.com.br | täbñêws.com.br |
| xn--tbws-loa7b2b.com.br | täbñëws.com.br |
| xn--tbews-gra6g.com.br | täbñews.com.br |
| xn--tbnws-gra1b.com.br | täbnéws.com.br |
| xn--tbnws-gra4a.com.br | täbnèws.com.br |
| xn--tbnws-gra8b.com.br | täbnêws.com.br |
| xn--tbnws-gra5c.com.br | täbnëws.com.br |
| xn--tbnews-bua.com.br | täbnews.com.br |
| xn--tbws-loa5a7c.com.br | täbñéws.com.br |
Ficou impressionado até aqui? Então vamos para último caso.
Terceiro caso:
https://tabnews.com.br@google.com
Você pensa que acessa o tabnews, mas a verdade que você estará acessando google! Era usado antigamente para acesso de serviços remotos, semelhante protocolos FTP, SSH, entre outros. Por meio de navegadores o acesso era instantâneo, mas isso se tornou alvo de phishing. Felizmente alguns navegadores desabilitaram ou informam aos usuários que o acesso é suspeito ou enganoso.
Portanto adotar essas precauções é essencial para se proteger contra o phishing e garantir a segurança de suas informações pessoais e financeiras. Ao estar atento aos sinais de fraude e utilizar ferramentas de segurança, você reduz significativamente o risco de ser vítima desses ataques. Mantenha-se sempre vigilante e atualizado sobre as melhores práticas de segurança digital. Fica aqui a recomendação da CERT.
O CERT.br (https://cert.br/) é um Grupo de Resposta a Incidentes de Segurança (CSIRT) de responsabilidade nacional de último recurso, mantido pelo NIC.br. Além da gestão de incidentes, também atua na conscientização sobre os problemas de segurança, na consciência situa- cional e transferência de conhecimento, sempre respal- dado por forte integração com as comunidades nacional e internacional de CSIRTs. https://cartilha.cert.br/fasciculos/phishing-golpes/fasciculo-phishing-golpes.pdf Link - PDF - Fascículo sobre Phishing.
Observação: Todos os domínios referente ao tabnews.com.br foram comprados em nome de: Felipe Deschamps. 😄
Dados obtidos publicamente por meio de
Whois.
Escrito por Jeiel Lima Miranda
Ataque por homofonas Palavras homofonas, ou seja, com o mesmo som. Exemplo de ataque, grok, as pessoas na verdade procuram groq, porém se confundem e caem em sites falando sobre Grok
Ataque por O atacante se aproveita da semelhança de determinadas palavras. Exemplo JavaScript, as pessoas na verdade procuram Java, porém se confundem e caem na linguagem JavaScript.
Ataque por homoglifos O atacante se aproveita da tipografia semelhante de determinados caracteres para enganar a vítima. Site que converte seu texto para um texto com homoglifos. https://site112.com/gerador-homoglifos
A troca do tipo de alfabeto deve ser realmente uma preocupação? Pesquisando e perguntando para um professor meu, soube que seria um ataque de phishing de alto nível e que o próprio Windows defender o bloqueia, então não seria uma prática a ser utilizada nos dias de hoje.
Além disso, ainda tem o DNS spoofing, que é a manipulação dos registros DNS para redirecionar o tráfego de um site legítimo para um site malicioso, que consegue ser muito pior, pois a pessoa está acessando exatamente o domínio que ela deseja, e nem sonha que o site em questão é falso, e que as informações dela estão sendo roubadas.
Neste caso, acessando https://www.tabnewss.com.br/login não necessariamente estaremos seguros, caso o seu DNS tenha sido violado. A boa notícia é que os principais navegadores possuem algumas medidas de segurança para ajudar a detectar e mitigar ataques dessa natureza.