Tecnologia Hackers derrotam cadeado de segurança de sites seguros com páginas clonadas
Por Redação O Sul | 12 de janeiro de 2019
A empresa de segurança FireEye publicou detalhes sobre a atividade de um grupo de hackers que está clonando páginas em seu endereço original e ainda colocando um certificado digital (que faz o navegador exibir um cadeado de segurança ou endereço com HTTPS) no site falso. Com isso, os invasores conseguem roubar dados dos visitantes, que acreditam estar no site legítimo. As informações são do portal G1.
O HTTPS (representado pelo cadeado de segurança) é uma tecnologia que busca garantir a legitimidade do site acessado. Usando uma série de técnicas, hackers podem criar uma página falsa e coloca-la em um endereço diferente do original (incluindo, nesse caso, com o cadeado) ou podem colocar uma página falsa sem o cadeado no mesmo endereço da original. Usar o endereço original aliado ao HTTPS é um ataque mais sofisticado e mais difícil de ser realizado.
Apesar da dificuldade, ataques como este já aconteceram em pequena escala. No Brasil, isso aconteceu com o Banrisul (Banco do Estado do Rio Grande do Sul) em 2016, quando hackers trocaram a página principal do banco por uma tela falsa que orientava os visitantes a baixar um vírus ladrão de senhas oferecido como plugin de segurança.
O ataque detectado pela FireEye, no entanto, adotou uma metodologia que se repete em diversos casos, o que indica que se trata de uma característica operacional dos invasores e não uma situação isolada. No entanto, embora o funcionamento dos ataques esteja claro, ainda não se sabe como eles têm início. Ou seja, se os criminosos estão explorando alguma vulnerabilidade ou enviando e-mails falsos para os responsáveis pelos sites.
Os nomes dos sites atacados não foram revelados, mas a FireEye disse que provedores de internet, governo e “entidades comerciais sensíveis” estão na lista.
De alguma forma, no entanto, os hackers obtém o controle sobre o serviço de NS (servidores de nome) associados ao site. O NS é parte do serviço de DNS, o “102” da internet, que converte nomes em números (endereços IP) nos quais os computadores podem se conectar. Cada site na internet opera um ou mais servidores de nome para atenderem a esses pedidos e permitir que internautas visitem o site.
Quando os hackers podem controlar esses servidores de nome associados ao site atacado, eles usam o serviço “Let’s Encrypt”, que fornece certificados gratuitos para fazer uma solicitação de certificado. Dessa forma, a página falsa poderá apresentar o certificado obtido junto à Let’s Encrypt, fazendo o navegador exibir o “cadeado” ou o endereço HTTPS.
Cuidados
Embora os usuários dos sites sejam prejudicados, quem deve tomar cuidado para evitar esses ataques são os próprios administradores dos sites.
A FireEye recomenda que seja adotada a autenticação em duas etapas junto ao serviço de registro responsável pela manutenção do endereço do site e que sejam acompanhado o histórico de certificados emitidos para os sites. Toda a emissão de certificado precisa ser registrada, o que significa que esse acompanhamento permite identificar quando um criminosos obteve um certificado em nome do site.
Também deve ser feita uma verificação nos registros A e NS do servidor do nome e do registro para garantir que eles não tenham sofrido adulteração.
