Falha em rede de fast food americana gera uso da marca em phishing

A sign is seen at a Chipotle Mexican Grill restaurant in San Francisco, California July 21, 2015. REUTERS/Robert Galbraith
Créditos: REUTERS/Robert Galbraith                                                                                            Fonte: Google

O caso é um pouco confuso, mas demonstra como pequenas falhas de segurança podem comprometer a imagem de uma marca.

A história começa quando o profissional de tecnologia desempregado, Michael Kohlman preenche uma ficha de emprego na rede de fast food de comida mexicana Chipotle. Michael não quer trabalhar em restaurantes, ele só precisa provar ao governo que está constantemente procurando emprego, deste modo garante o acesso a programas sociais.

Assim que envia o currículo e completa o processo de registro para a vaga, ele recebe um e-mail automático, daqueles que muita gente ignora, comprovando que a inscrição foi feita. Entretanto, aquele e-mail possuía algo estranho; tinha origem no endereço [email protected].

Depois de uma busca Michael descobriu que a Chipotle não era dona do domínio chipotlehr.com. Na verdade, esse domínio não tinha dono, então Michael comprou o registro do domínio por $30 dólares, inseriu uma pagina dizendo que aquele domínio não era da Chipotle e informou tanto empresa quanto o Brian Krebs sobre o caso.

El pescador chipotle phishing1
Fonte: KrebsOnSecurity

Krebs se inscreveu para um dos cargos da Chipotle em caráter de teste, comprovou a existência da falha e buscou contato com a empresa para entender qual seria a sua interpretação da situação.

 

El Pescador chipolte3
Fonte: KrebsOnSecurity

Em resposta, o porta voz da Chipotle disse que a empresa corrigiu os sistemas, mas acredita que ter usado um domínio que não existe não representa uma falha de segurança. Basicamente a empresa atuou como um spammer ao usar um domínio sem registro e Michael, ao registrá-lo poderia monitorar todos os e-mails que trafegam para chipotlehr.com.

Entretanto, o cenário mais prejudicial seria que o domínio chipotlehr.com poderia ser usado em ataques de phishing. Neste caso, o atacante poderia enviar mensagens para quem se inscreve no portal de vagas da empresa e roubar seus dados ou criar uma página falsa para coletar informações e disseminar todo tipo de malware usando a marca da empresa.

Michael tentou entregar o controle do domínio para a empresa gratuitamente. A Chipotle negou a oferta.

Este tipo de prática só reforça a urgente necessidade de educar os usuários de internet contra ataques de phishing e engenharia social, como faz El Pescador – a primeira plataforma de phishing educativo do Brasil. Ensinar usuários a reconhecer ataques de phishing é a melhor forma de combate.


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*