Arquivo da tag: Ataques

Cybersquatting

Publicado em por

cybersquatting é um novo modelo de ataque que os hackers utilizam para fraudar e-mails, sites e outros serviços digitais. São técnicas diferentes para registrar domínios similares com o intuito de lesar consumidores ou as próprias empresas. Um dos “subgêneros” mais famosos da prática é o typosquatting, que envolve registrar endereços com erros de digitação intencionais (exrmplo-sa.com.br, visto que a tecla “r” fica próxima da tecla “e”), uma variação sutil (exemploss-sa.com.br) ou o uso de um domínio de topo diferente (exemplo-sa.com, exemplo-sa.co, exemplo-sa.cm e assim por diante). Existem diversas possibilidades que podem ser realizadas pelo atacante, abaixo destaco algumas delas:

  • Homoglifo: utiliza letras ou caracteres semelhantes para criar um domínio visualmente similar ao original. Por exemplo: exempIo-sa.com.br (com um “i” maiúsculo em vez do “l” minúsculo”);
  • Repetição: o uso de caracteres repetidos, geralmente se aproveitando dos internautas que escrevem muito rápido e batem duas vezes na mesma tecla. Por exemplo: exxemplo-sa.com.br;
  • Transposição: a troca de dois ou mais caracteres de lugar, novamente visando os internautas que escrevem muito rápido e cometem erros de digital. Exemplo: exmeplo-sa.com.br;
  • Substituição: substitui um caractere por outro que esteja próximo no teclado. Exemplo: exrmplo-sa.com.br;
  • Omissão: que omite uma letra do domínio original. Exemplo: exeplo-sa.com.br;
  • Inserção: que insere uma letra no domínio original. Exemplo: exempplo-sa.com.br;
  • Ponto ausente: retira um ponto do domínio para criar uma confusão virtual que possa enganar o usuário a uma primeira vista. Exemplo: exemplo-sacom.com
  • Singularização ou pluralização: que adiciona ou remove uma letra para tornar o domínio plural ou singular, ao contrário do que ele é originalmente. Exemplo: exemplos-sa.com.br
  • Troca de vogal: como o nome sugere, altera uma vogal no domínio legítimo. Exemplo: example-sa.com.br
  • TLD Incorreto: substitui o domínio de alto nível por outro similar. Exemplo: exemplo-sa.co, exemplo-sa.cm etc.

Na maioria dos casos, os ataques tiram proveito da distração dos usuários que estão acessando seus recursos online. Por isso, é muito importante orientar seus usuários a estarem mais atentos ao acessar um site, principalmente validar se está no site correto antes de fazer algum tipo de acesso ou entrada de usuários e senhas.

Na dúvida, não realize a ação, melhor deixar de fazer de que ter seus dados roubados!

Novo Ataque destrutivo em ambiente híbrido: Mercury e DEV-1084

Publicado em por

Foi detectado recentemente pelo time de ameaças da Microsoft um novo tipo de ataque chamado Mercury, uma operação de ataque a ambientes híbridos vinculado ao governo iraniano que atacou ambientes locais e ambientes de nuvem onde o objetivo era gerar destruição e interrupção de operações em ambientes corporativos.

O Mercury explora vulnerabilidades já conhecidas de mercado em aplicativos não corrigidos ou atualizados com Patches e Service Packs e através dessas vulnerabilidades ele entrega uma outra ferramenta chamada DEV-1084 que então irá realizar um reconhecimento de toda a estrutura invadida, irá estabelecer conexões e começar a mover-se entre as diversas redes locais e online deste ambiente. Muitas vezes, fica inativo por semanas e até meses, depois, aproveitando-se de credenciais comprometidas por senhas e controles de acesso fracos, mas com alto privilégio, inicia um processo de destruição em massa de recursos, incluindo farms de servidores, máquinas virtuais, contas de armazenamento, dentro outros recursos.

Veja o documento oficial da Microsoft sobre esse novo tipo de ataque aqui.

Aqui reforço mais uma vez a importância de manter ambientes atualizados, com os ultimos Paches e service packs instalados e em ambientes online é fundamental garantir o máximo de segurança de seus ambientes, mantendo serviços como autenticação multi-fator (MFA), Avaliação de Acesso Contínuo (CAE), logs de auditoria e outros serviços de segurança habilitados. A familia Microsoft Defender é uma solução bastante recomendada para manter tanto ambientes online, quanto ambientes locais seguros também, vale avaliar e testar essas soluções.

Se você tem mais de 150 usuários licenciados na plataforma Microsoft 365, você pode usar o benefício do programa FastTrack da Microsoft para te auxiliar na implantação destas soluções e garantir que seu ambiente esteja seguro contra este tipo de ataque.

Segue aqui um link com as recomendações de boas práticas de segurança da Microsoft para manter ambientes seguros.

Leia também sobre Microsoft Defender.

Não deixe de olhar para a segurança de seu ambiente, você pode estar mais perto de uma invasão do que imagina!