0
0
Os links de vaidade criados pelas empresas para adicionar sua marca a serviços de nuvem conhecidos podem se tornar um vetor útil para ataques de phishing e uma maneira de enganar melhor as vítimas, alertam os pesquisadores.
Serviços em nuvem que não verificam se os subdomínios foram modificados podem permitir links que parecem ser de “varonis.box.com” ou “apple.zoom.us” — dois exemplos usados em um comunicado da empresa de proteção de dados Varonis na quarta-feira. No caso de Box.com, isso poderia levar a um documento malicioso; no caso do Zoom, isso pode significar um webinar que coleta informações e não tem relação com a marca citada. Os problemas ocorrem quando um serviço em nuvem permite um subdomínio de vaidade, mas não valida o subdomínio ou usa o subdomínio para fornecer serviços.
Varonis notificou Box.com e Zoom do problema — juntamente com o Google, cujos links para o Google Docs poderiam ser falsificados — há mais de seis meses, e os problemas são corrigidos em sua maioria, afirmou a empresa. No entanto, o problema provavelmente existe para outros serviços, diz Emanuel, diretor de pesquisa e segurança da Varonis.
“Achamos que é mais do que apenas esses três serviços saas”, diz ele, acrescentando que os atacantes também podem usar a previsibilidade dos subdomínios para selecionar vítimas em potencial. “Por causa das URLs de vaidade, torna muito fácil para os atores de ameaças digitalizar todos os subdomínios de todas as grandes empresas da Fortune com diferentes provedores de nuvem”, diz ele.
Ocultar sites maliciosos de código e phishing por trás do que parece ser marcas bem conhecidas é uma maneira fundamental para os atacantes enganarem as vítimas a confiar em mensagens de e-mail fraudulentas e links para sites. Em 2019, por exemplo, três quartos das empresas descobriram que domínios sósias haviam sido estabelecidos por terceiros usando um domínio non-.COM de alto nível. Devido à expansão de domínios de alto nível, phishers e fraudadores têm uma seleção mais ampla de domínios potenciais, enquanto as empresas têm que considerar a compra de uma ampla faixa de domínios para proteger adequadamente sua propriedade intelectual e marca.
A pesquisa de Varonis examina o problema de outra direção. Em vez de olhar para os domínios de alto nível, os pesquisadores da empresa investigaram formas de abusar dos subdomínios que muitos provedores de serviços em nuvem permitem que seus clientes usem.
“Não só os URLs de vaidade se sentem mais profissionais, mas também proporcionam uma sensação de segurança para os usuários finais”, afirmou Varonis no comunicado. “A maioria das pessoas é mais provável de confiar em um link em varonis.box.com do que um link genérico app.box.com. No entanto, se alguém pode falsificar esse subdomínio, então confiar na URL da vaidade pode sair pela culatra.”
Engenharia Social Com zoom
Um aplicativo de software como serviço (SaaS) é vulnerável ao ataque quando um cliente pode usar sua marca como subdomínio, como varonis.zoom.us, mas no momento em que o link é enviado a terceiros — como participantes de uma teleconferência ou webinar — o subdomínio não é mais verificado. No caso do serviço do Zoom, os invasores podem criar um webinar que faça aos inscritos uma variedade de perguntas úteis para engenharia social, renomear o webinar como uma empresa popular e, em seguida, alterar a URL resultante para a marca da empresa alvo. O domínio original — attacker.zoom.us, por exemplo — poderia ser alterado para varonis.zoom.us sem qualquer impacto na funcionalidade do link.
Uma página devidamente marcada pode enganar uma vítima para dar informações, especialmente quando o subdomínio indica que o host é uma empresa bem conhecida. No caso de Box.com, um link como app.box.com/f/abcd1234 poderia ser alterado para varonis.app.box.com/f/abcd1234 aparentar ser um formulário oficial coletando informações, mas realmente enviar as informações para o invasor.
“Os ataques mais interessantes do ponto de vista da proteção de dados são quando você tem formulários para solicitações de registro ou compartilhamento de arquivos”, diz Emanuel. “Quando o ator de ameaças controla essas páginas, eles podem pedir qualquer informação que quiserem, e parece totalmente legítimo. É realmente difícil determinar que não é uma página que a empresa possui.”
Essa engenharia social torna-se útil em ataques de phishing, bem como para convencer as pessoas a clicar em links ou baixar arquivos não confiáveis. Em 2021, as perdas de crimes cibernéticos, incluindo ataques de phishing, atingiram quase US$ 7 bilhões, de acordo com o relatório anual do FBI para o Internet Crime Complaint Center (IC3). O phishing representou cerca de 38% dos mais de 847.000 crimes relatados ao IC3.
Os provedores de nuvem devem garantir que qualquer personalização da URL seja validada pela codificação no link, diz Emanuel. Box.com e o Google corrigiram os problemas, embora os bugs ainda existam para o Google Forms e o Google Docs, ao usar o recurso “Publicar para a web”, de acordo com Varonis. O Zoom avisará os usuários quando o subdomínio for alterado. “Abordamos esse problema alertando os usuários se eles estão sendo redirecionados para um subdomínio diferente”, disse um porta-voz da empresa.
Além disso, os usuários devem ser sempre céticos em relação aos links, especialmente se a página vinculada solicitar muitas informações ou levar a outros links ou arquivos.
“Recomendamos educar seus colegas sobre o risco associado ao clique nesses links e, especialmente, enviar PII e outras informações confidenciais por meio de formulários, mesmo que pareçam estar hospedados pelas contas saas sancionadas da sua empresa”, afirmou Varonis na assessoria.
FONTE: DARK READING