Microsoft assume controle sobre domínios enganosos usados por hackers
Endereços como hotrnall.com e rnicrosoft.com foram barrados pela Microsoft
Endereços como hotrnall.com e rnicrosoft.com foram barrados pela Microsoft
Endereços que se parecem com URLs de sites legítimos existem aos montes por aí, mas alguns deles não vão mais causar estragos: graças a uma ação judicial, a Microsoft conseguiu obter controle sobre mais de 50 domínios e endereços IP que estavam sendo usados para phishing e outras ações maliciosas.
Boa parte desses endereços lembra URLs de sites da Microsoft ou remetem a serviços da companhia. Entre eles estão domínios como hotrnall.com, office356-us.org e rnicrosoft.com.
De acordo com a empresa, os domínios maliciosos estavam nas mãos do Thallium, um grupo hacker que teria ligação com a Coreia do Norte. As investigações apontam que o grupo possuía vários alvos, como membros de governos, funcionários de universidades e integrantes de organizações de defesa dos direitos humanos.
Ainda segundo a Microsoft, os alvos eram principalmente pessoas que trabalhavam em instituições baseadas na Coreia do Sul, Estados Unidos e Japão.
Basicamente, o grupo hacker enviava mensagens de phishing que se passavam por serviços da Microsoft ou de outras empresas, como Yahoo (exemplo: inbox-yahoo.com) e Google (exemplo: maingoogle.com).
Os alvos que não percebiam a cilada ficavam suscetíveis a digitar informações sigilosas em um site falso (como login e senha de uma conta de e-mail) ou a baixar um malware, por exemplo.
Pode parecer surpreendente que alguém não perceba o endereço enganoso, mas repare no exemplo abaixo que, em alguns casos, o domínio é mesmo muito parecido com o original.
A Microsoft monitorou o Thallium por meses e, em 18 de dezembro de 2019, entrou com uma ação em um tribunal na Virginia para assumir o controle dos cerca de 50 endereços maliciosos identificados na investigação e dificultar a atuação do Thallium. A resposta foi rápida: pouco depois do Natal, as autoridades americanas emitiram uma ordem judicial que atende à solicitação da companhia.
Por conta disso, a Microsoft derrubou os endereços em questão e irá mantê-los inativos. Mas é óbvio que essa medida, por si só, não resolve o problema do phishing. Tomar cuidado com links em e-mails, usar gerenciador de senhas e/ou ativar a autenticação em dois passos continuam sendo medidas mandatórias de prevenção.
Com informações: ZDNet.
Leia | O que é DKIM?