{"id":2516,"date":"2014-03-20T17:00:44","date_gmt":"2014-03-20T17:00:44","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=2516"},"modified":"2019-11-22T08:08:57","modified_gmt":"2019-11-22T11:08:57","slug":"typosquatting-infeccao-de-malware-provocada-por-erros-de-digitacao","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/typosquatting-infeccao-de-malware-provocada-por-erros-de-digitacao\/2516\/","title":{"rendered":"Typosquatting: infec\u00e7\u00e3o de malware provocada por erros de digita\u00e7\u00e3o"},"content":{"rendered":"<p><b>\u00a0<\/b><\/p>\n<p>H\u00e1 casos em que sites s\u00e3o comprometidos, com o objetivo de servirem para espalhar malware. Temos visto v\u00e1rios m\u00e9todos que t\u00eam sido utilizados para levar os usu\u00e1rios a sites maliciosos, um deles \u00e9 conhecido como \u201ctyposquatting\u201d.<\/p>\n<p>\u00c9 uma situa\u00e7\u00e3o que pode passar com qualquer um: enquanto digitamos o endere\u00e7o de uma p\u00e1gina no navegador, errarmos alguma letra. Os cibercriminosos muitas vezes tiram proveito disso e levam os usu\u00e1rios a sites maliciosos em vez de lev\u00e1-lo ao site que ele pretendia visitar. Isso \u00e9 chamado de \u201ctyposquatting\u201d \u2013 palavra composta por \u201ctypo\u201d (tipografia) e squat (ocupar) -, tamb\u00e9m \u00e9 conhecido como \u201cdesvio URL\u201d, ou seja, sequestro de URL. Os cibercriminosos registram nomes de dom\u00ednio que se parecem com outros dom\u00ednios populares, e depois esperam que as v\u00edtimas o digitem por equ\u00edvoco o nome de suas p\u00e1ginas web. Trata-se de um problema s\u00e9rio para as empresas, e algumas delas, cujos nomes foram abusados \u200b\u200bpor typosquatter, chegaram a entrar na justi\u00e7a.<\/p>\n<p>O typosquatting \u00e9 uma amea\u00e7a tamb\u00e9m para os consumidores que, sem perceber, entram em p\u00e1ginas de spam ou, no pior dos casos, infectam seus pr\u00f3prios computadores com um malware. Vamos ver um exemplo real deste ataque.<\/p>\n<p><b>Um caso t\u00edpico de typosquatting: endere\u00e7o do Gmail <\/b><\/p>\n<p>Primeiro, vou explicar o esfor\u00e7o da Kaspersky Lab para reduzir o n\u00famero de v\u00edtimas de infec\u00e7\u00e3o por malware. Quando encontramos sites comprometidos, tentamos chegar ao administrador para emitir um alerta. Na imagem abaixo est\u00e1 um exemplo real que encontramos. \u00c9 a informa\u00e7\u00e3o Whois de um site, que involuntariamente hospeda um malware. No campo \u201ccontato administrativo\u201d (Administrative Contact), voc\u00ea ver\u00e1 o texto A *** 3JP\u201d, se trata de um identificador JPNIC Handle (gerido por Jap\u00e3o Service Registry \u2013 JPRS), uma sequ\u00eancia alfanum\u00e9rica muito \u00fatil para descobrir os administradores do site (em outros casos, os endere\u00e7os de e-mail s\u00e3o registrados neste campo).<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06135305\/12-1.png\"><img decoding=\"async\" class=\"size-full wp-image-2519 aligncenter\" alt=\"1\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06135305\/12-1.png\" width=\"533\" height=\"257\"><\/a><\/p>\n<p>Vejamos quem s\u00e3o os administradores do dom\u00ednio \u201cA***3JP\u201d:<\/p>\n<p style=\"text-align: center\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06143928\/22.png\"><img decoding=\"async\" class=\"size-full wp-image-2520\" alt=\"2\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06143928\/22.png\" width=\"387\" height=\"184\"><\/a><\/p>\n<p>O endere\u00e7o de e-mail no campo \u201cE-Mail\u201d \u00e9 a informa\u00e7\u00e3o de contato da pessoa que dever\u00e1 ser informada no caso de que algum cibercriminosos infecte com um malware seu site. Avisar aos administradores que n\u00e3o perceberam o problema \u00e9 um dos passos importantes no processo de preven\u00e7\u00e3o de malware para evitar que ele se espalhe ainda mais.<\/p>\n<p>Olhando com mais aten\u00e7\u00e3o, notamos que h\u00e1 um erro no endere\u00e7o de e-mail: parece um endere\u00e7o normal do Gmail (xxx@gmail.com), mas na verdade n\u00e3o \u00e9, falta uma letra.<\/p>\n<p>Em alguns pa\u00edses, o registro correto de informa\u00e7\u00f5es sobre dom\u00ednio \u00e9 uma lei. No Jap\u00e3o, \u00e0s vezes a informa\u00e7\u00e3o registrada n\u00e3o \u00e9 correta, e o pior \u00e9 o fato de que as informa\u00e7\u00f5es incorretas podem ser intencionalmente registradas. Se um endere\u00e7o de e-mail cadastrado n\u00e3o \u00e9 correto, n\u00e3o podemos alertar o administrador do site, que se tornar\u00e1 uma v\u00edtima dos cibercriminosos e, ao mesmo tempo, difundir\u00e1 o malware a outros usu\u00e1rios de forma involunt\u00e1ria<\/p>\n<p>Neste caso que apresentamos, h\u00e1 uma raz\u00e3o muito clara para este erro: era uma armadilha criada a partir do typosquatting, destinada a levar aos usu\u00e1rios a baixar um instalador falso e malicioso.<\/p>\n<p>Ocorre que o site com um endere\u00e7o similar ao Gmail est\u00e1 em diferentes idiomas de acordo com o ambiente de idioma do seu visitante, incluindo japon\u00eas, alem\u00e3o, espanhol, italiano, holand\u00eas, polon\u00eas, portugu\u00eas, russo, sueco e turco. Por raz\u00f5es desconhecidas, n\u00e3o havia op\u00e7\u00e3o no idioma ingl\u00eas. D\u00ea uma olhada nas imagens do site, aind que estejam em russo e japon\u00eas. \u00c9 f\u00e1cil perceber como as vers\u00f5es maliciosas se parecem com um site leg\u00edtimo muito conhecido. Por isso, \u00e9 compreens\u00edvel que muitos usu\u00e1rios baixem e instalem objetos maliciosos sem suspeitar.<\/p>\n<p>Tela em japon\u00eas:<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06135305\/3-1-1024x793.png\"><img decoding=\"async\" class=\"alignleft size-full wp-image-2521\" alt=\"3\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06135305\/3-1-1024x793.png\" width=\"1024\" height=\"793\"><\/a><\/p>\n<p>E em russo:<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06135304\/4-1-1024x794.png\"><img decoding=\"async\" class=\"alignleft size-full wp-image-2522\" alt=\"4\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/03\/06135304\/4-1-1024x794.png\" width=\"1024\" height=\"794\"><\/a><\/p>\n<p>Neste post, eu expliquei a import\u00e2ncia do registro correto da informa\u00e7\u00e3o de dom\u00ednios e, com um exemplo concreto, como funciona o typosquatting. Est\u00e1 t\u00e9cnica n\u00e3o \u00e9 nova: \u00e9 um m\u00e9todo cl\u00e1ssico utilizado para enganar os usu\u00e1rios. \u00c9 conhecido h\u00e1 v\u00e1rios anos, mas o n\u00famero de v\u00edtimas continua aumentando em todo o mundo. \u00c9 comum cometer erros de digita\u00e7\u00e3o e os cibercriminosos s\u00f3 esperam que os usu\u00e1rios caiam na armadilha com uma atitude passiva e, evidentemente, eficaz. Para n\u00e3o ser v\u00edtima do typosquatting, aconselhamos atualizar regularmente o sistema operacional do seu computador e manter-se <a href=\"http:\/\/brazil.kaspersky.com\/\" target=\"_blank\" rel=\"noopener nofollow\">atualizado sobre o seu antiv\u00edrus.\u00a0<\/a><\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: right\">Tradu\u00e7\u00e3o: Berenice Taboada D\u00edaz<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00a0 H\u00e1 casos em que sites s\u00e3o comprometidos, com o objetivo de servirem para espalhar malware. Temos visto v\u00e1rios m\u00e9todos que t\u00eam sido utilizados para levar os usu\u00e1rios a sites<\/p>\n","protected":false},"author":212,"featured_media":2517,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[193,136,35,192],"class_list":{"0":"post-2516","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-digitacao","9":"tag-kaspersky","10":"tag-malware-2","11":"tag-typosquatting"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/typosquatting-infeccao-de-malware-provocada-por-erros-de-digitacao\/2516\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/digitacao\/","name":"digita\u00e7\u00e3o"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/212"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2516"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2516\/revisions"}],"predecessor-version":[{"id":13613,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2516\/revisions\/13613"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/2517"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}