A criminalidade não dorme no ponto, e você também não deveria
Nota 📝
- Esta publicação surgiu de um complemento que fiz ao bom artigo 👮 Fraud Prevention - phishing/scam, da RavenaStar, e que acredito que poderia alcançar mais pessoas sendo publicando também em separado.
- Há, agora, diversas melhorias no texto/artigo que não estavam na resposta original à publicação dela
Uma sofisticação em Phishing que eu nunca havia antes visto
As práticas de phishing ficam cada vez mais sofisticadas, e isso nós sabemos. Dessa forma, fica aqui o alerta para uma nova (pra mim, pelo menos) prática que tenho visto.
Agora (não sei há quanto tempo, mas me deparei recentemente e fiquei maravilhado (além de puto, claro kkkkk)) eles estão utilizando a possibilidade de se inserir login e senha direto pela URL na barra de endereço do navegador, e utilizando isso para ludibriar as pessoas.
Exemplo:
Destrinchando o pulo do gato, caso cê não tenha sacado a sutileza...
Quando acessamos uma máquina por SSH, por exemplo, geralmente fazemos utilizando o formato ssh usuario@endereço-ip, certo?
Ocorre que é possível realizar autenticações desta forma em outros protocolos, e não só no SSH.
E o formato é usuario:senha@endereco-ip:porta
Então, o "pulo do gato" é que eles podem passar, literalmente, qualquer nome como sendo usuário (como o usuário "bradesco.com.br", por exemplo), e deixar o campo de senha em branco, e quando você bate o olho o que vc acha ser a URL autêntica em si é só o usuário forjado pra te enganar.
O que, pr'um usuário leigo (ou desatento), vai passar totalmente despercebido, pq ele n vai se ligar de olhar a URL toda, e aí... já era.
Eu experienciei alguns navegadores que já identificam que a URL contém uma autenticação que a página em si nem tá pedindo, e ele informa que algo está estranho.
Prova de Conceito
Vc pode testar seu navegador pegando algum link qualquer e fornecendo um usuário na URL, aí é possível ver se o seu navegador realiza o alerta, ou se não.
O Firefox para Android informa, como é possível ver abaixo:
- Dá uma olhada em como engana, na barra de endereço... Eu acessei o site da Globo, mas podia muito bem ser um site malicioso meu se passando pelo Bradesco.
Já o Brave (no Android, pelo menos), por outro lado, não detectou nada kkkk Você pode testar sozinho, ou copiar e colar este
https://internetbanking.bradesco.com.br:@globo.com
Espero ter sido útil. Vlw, galera!
Realizei o teste via chrome e também não reportou a mensagem de alerta ! Parabéns pelo Post !
Cara a cada dia os caras se reinventam e nós desenvolvedores aléms de nos reinventar ainda temos o dever de alertar a galera leiga: tios/as, mãe/pai, avô/avó, amigos/as essa galerinha mais antiga mesmo, não vai perceber o perigo eminente.
Conteúdo interessante com linguagem sucinta e assertiva. Parabéns pelo conteúdo e pela forma!!
Muito interessante , o Chrome não me alertou em nada , é necessário não só estar alerta , mas tb bem informado, realmente, como dito, a criminalidade não dorme no ponto, não devemos cochilar.
Testei no MacOs e só o Firefox me alertou, Safari e Chrome abriram o endereço sem perguntar:scream:
Obrigado pelo alerta, não sabia dessa brecha. Muitas pessoas só olhariam o começo da url, até porque o resto geralmente não é compreensível para um leigo.
E vlw pela contribuição sobre o Mac! E uma dúvida: por acaso o Safari n roda sob o Chromium tbm, não?
Caraca! também não conhecia e achei genial (porem perigoso).
Com base no fato de que boa parte dos navegadores não vai alertar a respeito da URL, acredito que não se pode confiar em nada a não ser no nosso próprio olhar crítico.
Antes de clicar em literalmente qualquer link, devemos analisa-los criteriosamente.
Agora, como vamos enfiar isso na cabeça dos velhinhos que clicam em tudo que aparece na timeline do Facebook?
Cada dia uma nova forma de nos enganar. Acabei de testar aqui e no Chrome (PC) e vai direto, sem aviso algum.
Caracaa, nunca tinha visto, mdss que perigo
Caramba kk Os caras tão cada vez mais ligeiros