Por Hugo Sousa para Pplware.com
O serviço de armazenamento e partilha de ficheiros Dropbox foi dias alvo de um ataque de phishing bastante complicado, mas que, segundo a Symantec, foi rápido de conter.
A empresa de segurança detectou um grande conjunto de e-mails de phishing enviados que informavam o utilizador que o ficheiro que teriam armazenado online era muito grande, tentando redireccionar “a vítima” para uma página falsa através de um link fornecido pelos atacantes.
A estratégia utilizada pelos atacantes foi engenhosa. Este alojaram a página falsa no próprio domínio do Dropbox e, com isso, ganharam a vantagem do domínio não ter uma aparência estranha para o utilizador. A página falsa estava contida dentro do domínio de conteúdo dos utilizadores, junto a todas as suas fotos e/ou ficheiros.
“O e-mail afirma que o documento pode ser visto clicando no link incluído na mensagem. No entanto, o link abre uma página de login falsa do Dropbox, hospedada no próprio Dropbox”, Nick Johnston, da Symantec.
A construção da página falsa também foi feita de forma inteligente, pois fornecia vários elementos através de SSL, tecnologia que criptografa a comunicação entre o cliente e o servidor, tornando a página mais credível, e os navegadores Web mais antigos não informam o utilizador caso o SSL não esteja a ser utilizado.
“O destaque do aviso varia de navegador para navegador; alguns navegadores simplesmente mudam o símbolo do cadeado mostrado na barra de endereços, enquanto outros incluem um pequeno banner no topo da página. Os utilizadores podem não perceber ou compreender estes avisos de segurança ou as implicações associadas.”
Nick Johnston, da Symantec
Este tipo de ataques tem sido muito utilizado em domínios confiáveis para o utilizador, como é o caso de domínios de armazenamento e partilha de dados como o Google Docs ou mesmo o Drive.
Caso o utilizador seguisse o link fornecido, uma página de Phishing era apresentada onde seriam pedidas as credenciais de acesso ao serviço Dropbox. Além do mais, eram mostrados logótipos de serviços de Webmail, já que o Dropbox permite aos utilizadores entrar com as mesmas credenciais.
Depois do utilizador fazer o login, as credenciais eram recolhidas e através de um script PHP o utilizador era redireccionado para a página de login real do Dropbox.
Embora estas técnicas sejam muitos conhecidas, na verdade, funcionam sempre muito bem, uma espécie de engenharia social directa ao utilizador crédulo, mas também, dado o envolvimento de determinados sinais “hipoteticamente” fidedignos, atacam a segurança de alguém que até verificou o URL e o aspecto confiável da estrutura mostrada.
Estão mais requintados sem, contudo, terem mais tecnologia envolvida. Apenas contam com as fragilidades do utilizador.