Um estudante da Universidade de Hamburgo, na Alemanha, chamou a atenção de desenvolvedores de software e especialistas em segurança ao demonstrar – de forma prática – que é possível para um atacante inserir linhas de código malicioso em programas e sites insuspeitos, ainda na fase de desenvolvimento, usando phishing.
Na sua pesquisa, Nikolai Tsacher usou uma técnica chamada typosquatting, que consiste em trocar algumas letras de um texto original confiando que em algum momento alguém vai cometer um erro de digitação (typo, em inglês).
Um uso comum do typosquatting é o registro de sites de phishing com nomes similares aos sites originais; por exemplo o golpista registra o endereço www.baMco.com.br, similar ao correto www.baNco.com.br, e aguarda que alguém, por distração, digite o nome errado. Nesse caso, a vítima que cai no site falso pode acabar entregando informações pessoais como número de conta, senha, CPF, entre outras.
Tsacher registrou-se em três sites que abrigam comunidades de desenvolvedores. Nessas comunidades, além de fazer networking, desenvolvedores pedem e oferecem ajuda em projetos, contribuindo com artigos, e até trechos e pacotes de códigos de programação.
Nesses sites Tsacher fez o upload de pacotes de código usando nomes similares aos nomes de pacotes mais populares. Durante meses seu código “malicioso” (colocamos entre aspas porque, como veremos a seguir, o objetivo do estudante não era causar nenhum dano) foi executado mais de 45 mil vezes em mais de 17 mil domínios.
Chamou a atenção o fato de que, entre os afetados estavam domínios do exército dos EUA (.mil) e de instituições do governo do país (.gov).
Para desenvolver a tese “Typosquatting in Programming Language Package”, Nikolai identificou os pacotes mais baixados nas comunidades de desenvolvimento Pypi, RubyGems e NPM e fez o upload de seus próprios pacotes, dando a eles nomes similares aos nomes dos pacotes que ele identificou.
Para se certificar de que não causaria nenhum dano, o estudante colocou nesses pacotes um aviso de que aquele não era o pacote correto. Antes desse aviso ser dado, no entanto, o código sinalizava um computador da universidade – via web – que havia sido executado, permitindo a Tsacher mapear se a “fraude” havia sido bem sucedida.
Veja algumas dicas para se proteger desse tipo de golpe:
Fonte: