- A investigação do TechRadar encontrou cinco VPNs afetadas por typosquatting
- Cerca de 14% dos mais de 980 domínios são maliciosos
- Serve como um lembrete para sempre verificar o URL
Os cibercriminosos empregam uma série de táticas para distribuir malware e coletar dados, mas poucas são tão simples quanto o uso indevido de domínios web fraudulentos. Embora muitas vezes associada à segmentação de compradores on-line, uma nova investigação da TechRadar descobriu que mesmo usuários de todo o mundo VPN mais segura os provedores não estão imunes a esses ataques.
A técnica – conhecida como erro de digitação – envolve atores de ameaças registrando nomes de domínio que são quase idênticos a sites populares, contando com erros ortográficos intencionais ou trocas sutis de caracteres. O objetivo é capturar usuários que cometem pequenos deslizes no teclado, redirecionando-os para uma landing page perigosa antes que percebam o erro.
O principal revisor de segurança da TechRadar, Mike Williams, identificou mais de 980 desses domínios semelhantes direcionados às principais empresas de VPN, incluindo NordVPN, VPN próton, Surfshark, ExpressVPNe Acesso Privado à Internet (PIA).
Embora muitos desses sites estivessem estacionados ou inativos, descobriu-se que aproximadamente 14% continham ameaças ativas, que vão desde phishing e anúncios maliciosos até distribuição direta de malware.
Typosquatting domínios VPN populares
Williams descreveu o typosquatting como um “ataque simples, mas perigoso”, observando que muitos usuários não conseguem detectar a ameaça mesmo sob inspeção minuciosa. “Alguns nomes de domínio com erros ortográficos são tão semelhantes ao original que são realmente difíceis de detectar, mesmo quando você olha de perto”, explica ele.
Para quantificar o risco para aqueles que procuram ferramentas de privacidade, Williams usou um serviço de detecção para analisar o volume de domínios fraudulentos que imitam cinco dos aplicativos VPN mais bem avaliados da TechRadar.
Esta pesquisa gerou uma extensa lista de domínios typosquatted, que Williams então investigou usando Proteção contra ameaças NordVPN Pro. Ao executar os domínios por meio desse pacote de segurança, ele conseguiu identificar exatamente quantos foram sinalizados como ameaças ativas.
|
Serviço VPN |
URLs testados |
Ameaças encontradas |
Programas maliciosos |
Phishing |
Anúncios perigosos |
Rastreadores |
Diversos. questões de segurança |
Sites imitadores |
|
ExpressVPN |
302 |
34 (11,3%) |
5 |
4 |
9 |
2 |
N / D |
14 |
|
NordVPN |
256 |
21 (8,2%) |
10 |
1 |
1 |
1 |
5 |
3 |
|
Surfshark |
204 |
49 (24%) |
32 |
1 |
N / D |
1 |
6 |
9 |
|
Acesso privado à Internet (PIA) |
112 |
4 (3,6%) |
2 |
N / D |
N / D |
N / D |
1 |
1 |
|
VPN próton |
110 |
32 (29,1%) |
3 |
7 |
1 |
N / D |
6 |
15 |
Embora ExpressVPN, NordVPN e Surfshark tenham surgido como os principais alvos dos typosquatters, o Proton VPN enfrentou o cenário de ameaças mais agressivo, com 29% de seus domínios falsos associados sinalizados como maliciosos.
Por outro lado, a PIA parecia ser a menos visada – dos 112 domínios semelhantes identificados, apenas quatro foram considerados potencialmente perigosos.
É encorajador que alguns fornecedores estejam a tomar medidas proactivas para combater o problema, registando e redireccionando erros ortográficos comuns para os seus sites legítimos. A ExpressVPN liderou nessa frente, protegendo pelo menos 22 desses domínios para proteger seus usuários contra deslizamentos de teclado.
Como explica Williams, os invasores contam com a dificuldade de detectar um URL enganoso. “Se o domínio duvidoso apontar para um site falso disfarçado para se parecer com o site que você espera, pode não haver motivo para olhar de perto. Você pode simplesmente presumir que está no lugar certo”, disse ele.
Embora seja difícil quantificar o risco exato que esses sites representam para os usuários comuns, chegar a um site infestado de malware e rastreadores invasivos podem comprometer a segurança do seu dispositivo e a privacidade dos dados – exatamente o que você está tentando evitar ao se inscrever em um rede privada virtual (VPN) serviço.
Além da ameaça de infecção, o TechRadar encontrou pelo menos 42 domínios typosquatted redirecionando para lojas imitadoras fraudulentas. Esses sites são projetados para induzir os usuários a fazer uma compra, entregando efetivamente dados bancários confidenciais aos cibercriminosos.
A navegação na Web também não é o único vetor para esses ataques. Williams observa que esses URLs fraudulentos são frequentemente usados como isca em phishing e-mails e postagens em mídias sociais. Os invasores os implantam na esperança de que um usuário veja uma URL que pareça “quase correta” e confie que é seguro clicar nela.
Empresas VPN respondem
Quando abordados pelo TechRadar, todos os cinco provedores de VPN confirmaram que estão monitorando ativamente campanhas de typosquatting.
“A confiança na marca é importante na indústria de segurança cibernética e, quando você combina isso com a alta visibilidade da marca, cria uma oportunidade atraente para malfeitores que buscam explorar a confiança do usuário por meio de brandjacking e typosquatting”, disse um porta-voz da NordVPN.
A ExpressVPN observou que a natureza global e aberta do registro de domínio torna esta tendência difícil de conter. “Qualquer pessoa pode registrar um domínio a qualquer momento e publicar falsificação de identidade ou conteúdo enganoso sem autorização”, afirmou a empresa.
Embora não seja responsabilidade legal da empresa policiar toda a Internet em busca de URLs fraudulentos, todas as marcas com as quais conversamos estabeleceram estratégias de mitigação.
Paulius Dauknys, chefe de gerenciamento de riscos da Surfshark, descreveu a situação como uma dinâmica contínua de “gato e rato”. “Novos domínios geralmente aparecem logo após outros serem removidos”, alertou.
O processo normalmente começa com monitoramento automatizado da web para sinalizar URLs suspeitos ou quase idênticos. Esses domínios são então analisados quanto ao risco antes que os provedores coordenem com empresas de hospedagem e registradores para remover os sites fraudulentos.
No entanto, mesmo com estes sistemas implementados, o processo continua lento. “O processo de disputa de domínio ainda pode levar um tempo considerável”, observou David Peterson, gerente geral da Proton VPN.
Como se manter seguro
As descobertas desta investigação servem como um lembrete claro de que mesmo a navegação rotineira pode comprometer a sua segurança digital. Basta um único deslize no teclado para chegar a uma página comprometida.
Como observa Mike Williams, não existe uma solução única e mágica para o problema. “O Chrome adicionou pela primeira vez a verificação básica de URL em 2019, mas não percebeu a grande maioria dos domínios perigosos em nossos testes”, disse ele.
No entanto, existem alguns passos fáceis de seguir para mitigar as chances de ser vítima de typosquatting:
- Examine o URL: Lembre-se de que mesmo uma carta pode levar você a alguns sites perigosos. Em caso de dúvida, execute o URL por meio de um ferramenta de verificação de links para verificar a segurança.
- Procure caracteres comumente trocados ou caracteres ausentes: Domínios como ‘n0rdvpn.com’ ou ‘norvpn.com’ são muito comuns porque são mais difíceis de detectar. Você também deve ter cuidado com URLs que apenas adicionam palavras comuns como ‘login’, ‘suporte’ ou ‘loja’ a um nome de domínio.
- Marque os originais: Depois de verificar a página inicial legítima de um provedor, salve-a nos seus favoritos. Usar um marcador confiável é a maneira mais confiável de evitar os riscos de digitação manual ou clique em links suspeitos.
- Baixe seu aplicativo VPN de sites oficiais: Sempre que possível, é aconselhável baixar seu aplicativo nas lojas de aplicativos oficiais.
- Verifique antes de clicar: Trate anúncios e e-mails não solicitados com cautela. Se não tiver certeza sobre um link, digite manualmente o URL conhecido em seu navegador ou use uma ferramenta de verificação de link para verificar sua segurança.
- Use um malware e bloqueador de anúncios: Use um malware e bloqueador de anúncios dedicado. Essas ferramentas são projetadas especificamente para interceptar tentativas de phishing e scripts maliciosos, fornecendo uma rede de segurança final, mesmo se você clicar acidentalmente em um link “duvidoso”.
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!