• Pesquisadores Testam Vulnerabilidade de E-mails Corporativos via Domínios Doppelganger

    Typosquatting é um fenômeno bastante conhecido na Internet. A maioria dos usuários, seja onde for, já cometeu erros de ortografia ao digitar o URL do site que queria visitar e foi por vezes confrontada com os sites que imitam os legítimos e populares, a fim de perpetrar uma pesquisa ou um esquema de phishing.

    Entretanto, de acordo com dois pesquisadores do Godai Group, há um tipo particularmente fácil de executar esse esquema, que provavelmente já deve estar sendo perpetrado por indivíduos localizados na China. Ele consiste em utilizar os chamados "domínios doppelganger" e servidores de correio, para interceptar e-mails enviados por engano para eles.

    Há 151 companhias perfiladas na Fortune 500 (lista publicada pela revista Fortune, que aborda as 500 maiores empresas de capital fechado dos Estados Unidos), e segundo os dois pesquisadores, elas são potencialmente vulneráveis ​​a este tipo de ataque, incluindo grandes empresas de TI, como Yahoo, Dell, Cisco, IBM e HP.

    O grande entrave é que quase todas essas empresas têm subdomínios regionais, que normalmente, trazem algo parecido com isto: xx.company.com (o "xx" representa o domínio de nível superior dos países onde a empresa está presente). De acordo com constatações feitas, as pessoas muitas vezes cometem o erro de omitir o first fullstop ao escrever e-mails com pressa.

    Isso não configuraria um problema tão grave, se esses endereços de destino fossem inexistentes, mas quando alguém se dá ao trabalho de registrar um domínio doppelganger, configurar um servidor de e-mail para ele e configurá-lo para receber todos os e-mails endereçado a ele, o torna capaz de colher todas as informações contidas nessas mensagens.


    Domínio Doppelganger e Coleta de Informações

    Os pesquisadores disseram que durante um período de seis meses, mais de 120.000 e-mails individuais (ou 20 gigabytes de dados) foram coletadas, incluindo segredos comerciais, faturas de negócios, employee PII, diagramas de rede, usernamese senhas. E ainda de acordo com suas declarações, as possibilidades não param por aqui. Os atacantes também pode executar um estilo de ataque Man-in-the-Mailbox (MITMB).

    A prática consiste no seguinte: os atacantes recebem o e-mail extraviado, lêem e enviam-no para o endereço de e-mail correto. As respostas são enviadas novamente para o endereço de e-mail doppelganger, e o atacante pode voltar a lê-lo e enviá-lo ao remetente original.

    Caso não houvesse percepção desse erro, o atacante poderia muito provavelmente aproveitar as informações obtidas a partir dessas mensagens, para encenar um ataque de engenharia social. Além disso, os pesquisadores também apontam que este tipo de ataques, provavelmente, já esteja em andamento há algum tempo. Um certo número de domínios doppelganger já foi criado por indivíduos que, a julgar pelas informações de e-mail de domínio registrado, são em sua maioria, sediados na China.

    Porém, ainda tem o lado mais grave da situação: as empresas estão conscientes de que o fenômeno typosquatting pode representar um grande problema, e apenas uma das 30 empresas para as quais os pesquisadores criaram domínios doppelganger, notaram a aplicação da técnica e reagiu de forma adequada.


    Links de Interesse:

    -Domains Doppelganger
    -Researchers Steal 20GB of Corporate E-mails via Doppelganger
    -
    Naked Security

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L