Por Adriano da Silva Santos
Hackers maliciosos estão usando o recurso de visualização da Hostinger para atingir clientes bancários em uma nova campanha de phishing, em especial no Oriente Médio.
O recurso no provedor de hospedagem permite que os atores de ameaças acessem um site antes de ser disponibilizado publicamente, permitindo que eles visualizem o conteúdo do site antes que um domínio seja atribuído a ele.
A operação ocorre quando um novo domínio é registrado na Hostinger, processo que pode levar de 12 a 24 horas para que ele se torne operacional em escala global.
Este é também conhecido como hora de propagação da zona de DNS, sendo o tempo entre quando um domínio é registrado e o momento em que ele se torna efetivamente disponível.
Esse movimento vem causando prejuízo por conta da forma em que a ação destes criminosos virtuais tem se provado capaz de “driblar” alguns dos monitoramentos em tempo real dos bancos que normalmente lhes permite detectar e derrubar sites de phishing rapidamente.
Para se ter uma noção, de acordo com o CloudSEK, os URLs de domínio de visualização – que são espelhos temporários de seus domínios raiz – através do esquema de pré disponibilização da Hostinger estão sendo fundamentais e servindo como base para a implantação desse novo método.
O domínio “visualização-domínio[.] com”, de propriedade da Hostinger International foi registrado em 2019, atuando basicamente como um provedor de disponibilização de sites que oferece serviços de visualização uma vez que um cliente qualquer compra serviços de hospedagem. Os usuários podem acessar o site através do recurso de domínio, mesmo que ainda não esteja disponível ao público em geral.
Dado esse cenário, os pesquisadores de segurança da CloudSEK, responsáveis pelo descobrimento dessa nova técnica, ressaltaram a importância de novos sistemas mais aprimorados e principalmente, a alta periculosidade dos URLs de visualização permanecerem disponíveis por 120 horas após a criação de uma conta.
Além disso, os especialistas acreditam que os atores de ameaças estão explorando o uso desse tempo de propagação e do recurso de domínio de visualização para fraudar usuários bancários por meio de textos, e-mails e mídias sociais, que em suma, são usados para disseminar as campanhas hospedadas em domínios com esse tipo de ameaça.
Credenciais como nome de usuário, senha e números de contato são os dados comuns solicitados nos formulários de login de phishing. Uma vez que as vítimas forneçam esses detalhes, a página será redirecionada para uma página da OTP pedindo o PIN OTP que os hackers enviaram para os números de contato fornecidos.
Um ponto importante nessa questão é que as ferramentas de fiscalização em tempo real do banco, como dito anteriormente, são muitas vezes ineficazes para esse tipo de medida e fora isso, ainda são pouco usuais como modo de defesa pelas empresas, principalmente em países subdesenvolvidos ou periféricos, que não detêm mão de obra qualificada ou tecnologia que possibilite a utilização desses recursos.
Diversos profissionais da Trustwave SpiderLabs no mês passado emitiram um aviso sobre um aumento esporádico em ataques de phishing usando a Rede IPFS descentralizada, que está rapidamente se tornando o novo ponto de acesso para sites de hospedagem deste malware.
O formato deste esquema de phishing inclui, além do domínio de visualização codificado como visualização-domínio[.], o domínio-tld[.]. Esse último pode ser armazenado com quaisquer registradores e provedores de hospedagem.
Resumidamente, os infratores aperfeiçoam esses processos justamente para realizar campanhas bem-sucedidas. Para impedir ainda mais o crescimento dessas iniciativas, as conclusões do estudo sugerem que identificar e remover domínios duplicados, bem como monitorar registros maliciosos previamente removidos, podem ajudar as empresas a mitigar o impacto desses ataques, tanto no presente quanto em futuro próximo.
Sobre Adriano da Silva Santos
O jornalista e escritor, Adriano da Silva Santos é colunista colaborativo do Crypto ID. Formado na Universidade Nove de Julho (UNINOVE). Reconhecido pelos prêmios de Excelência em webjornalismo e jornalismo impresso, é comentarista do podcast “Abaixa a Bola” e colunista de editorias de criptomoedas, economia, investimentos, sustentabilidade e tecnologia voltada à medicina.
Adriano Silva (@_adrianossantos) / Twitter
Leia outros artigos escritos por Adriano da Silva Santos aqui!
