Pesquisador consegue implantar código malicioso em comunidades de desenvolvimento de software usando técnica de phishing

 

Um estudante da Universidade de Hamburgo, na Alemanha, chamou a atenção de desenvolvedores de software e especialistas em segurança ao demonstrar – de forma prática – que é possível para um atacante inserir linhas de código malicioso em programas e sites insuspeitos, ainda na fase de desenvolvimento, usando phishing.

 

Na sua pesquisa, Nikolai Tsacher usou uma técnica chamada typosquatting, que consiste em trocar algumas letras de um texto original confiando que em algum momento alguém vai cometer um erro de digitação (typo, em inglês).

 

Um uso comum do typosquatting é o registro de sites de phishing com nomes similares aos sites originais; por exemplo o golpista registra o endereço www.baMco.com.br, similar ao correto www.baNco.com.br, e aguarda que alguém, por distração, digite o nome errado. Nesse caso, a vítima que cai no site falso pode acabar entregando informações pessoais como número de conta, senha, CPF, entre outras.

 

Tsacher registrou-se em três sites que abrigam comunidades de desenvolvedores. Nessas comunidades, além de fazer networking, desenvolvedores pedem e oferecem ajuda em projetos, contribuindo com artigos, e até trechos e pacotes de códigos de programação.

 

Nesses sites Tsacher fez o upload de pacotes de código usando nomes similares aos nomes de pacotes mais populares. Durante meses seu código “malicioso” (colocamos entre aspas porque, como veremos a seguir, o objetivo do estudante não era causar nenhum dano) foi executado mais de 45 mil vezes em mais de 17 mil domínios.

 

Chamou a atenção o fato de que, entre os afetados estavam domínios do exército dos EUA (.mil) e de instituições do governo do país (.gov).

 

 

Adaptando o typosquatting às comunidades de desenvolvimento

Para desenvolver a tese “Typosquatting in Programming Language Package”, Nikolai identificou os pacotes mais baixados nas comunidades de desenvolvimento Pypi, RubyGems e NPM e fez o upload de seus próprios pacotes, dando a eles nomes similares aos nomes dos pacotes que ele identificou.

 

Para se certificar de que não causaria nenhum dano, o estudante colocou nesses pacotes um aviso de que aquele não era o pacote correto. Antes desse aviso ser dado, no entanto, o código sinalizava um computador da universidade – via web – que havia sido executado, permitindo a Tsacher mapear se a “fraude” havia sido bem sucedida.

 

 

Evitando o typosquatting

Veja algumas dicas para se proteger desse tipo de golpe:

  • Evite clicar em links enviados por e-mail ou mensagem. Se vierem de fontes conhecidas, confirme se estão corretos. Na dúvida, digite você mesmo o link na barra de endereços
  • Após digitar o endereço, verifique se você não cometeu nenhum erro. Um pequeno erro como esquecer um “o” em Google ou em Facebook pode direcionar você a um site malicioso
  • Coloque os sites que você mais visita nos favoritos do seu browser. Isso economiza tempo e minimiza a chance de erro.
  • Mantenha seu antivírus atualizado para minimizar os riscos de cair em sites maliciosos.

 

Fonte:

Arstechnica


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*