Ferramenta de detecção de phishing do Facebook agora reconhece ataques de homógrafos
DARKNET BRASIL
O Facebook atualizou um kit de ferramentas de detecção de phishing que desenvolveu há dois anos. A atualização agora permite que webmasters que se inscreverem na ferramenta detectem domínios homográficos (baseados em Unicode) criados para seus sites.
A ferramenta em questão é denominada Certificate Transparency Monitoring , um aplicativo hospedado pelo Facebook. Qualquer proprietário de site pode se cadastrar gratuitamente para este serviço usando sua conta do Facebook.
O webmaster pode adicionar seus domínios a um painel e a ferramenta do Facebook verificará os registros públicos de transparência do certificado (CT) .
Os registros de CT contêm informações sobre novos domínios que recentemente obtiveram um certificado SSL e estão prestes a se tornar obrigatórios para navegadores .
A ferramenta do Facebook alertará os proprietários de sites sobre novos sites encontrados nesses registros de CT que usam um nome semelhante ao deles.
O Facebook lançou essa ferramenta em 2016 com a premissa de que, se alguém recebe um certificado SSL para um site com um domínio muito semelhante a outro, é mais provável que ele realize um ataque de phishing para coletar credenciais de usuário ou informações financeiras.
Suporte para ataques homográficos
Hoje, o Facebook atualizou a ferramenta Monitoramento de Transparência de Certificado com um novo recurso para detectar um novo tipo de ataque de phishing que se tornou muito popular no ano passado.
O novo ataque é chamado de " ataque de homógrafo de IDN " e é a prática de registrar domínios com caracteres Unicode internacionalizados em seu nome.
Por exemplo, os usuários podem registrar o coịnbạse.com, que será um domínio totalmente exclusivo aos olhos de um computador. (Dê uma olhada no domínio novamente para notar os pequenos pontos sob os caracteres "i" e "a".)
Tais ataques se tornaram bastante prevalentes, com vários incidentes relatados somente no ano passado [ 1 , 2 , 3 ].
O suporte para ataques de homógrafos chega para completar a capacidade da ferramenta de detectar outros tipos de domínios desconfigurados, como aqueles que combinam palavras diferentes (helpdesk-facebook [.] Com), erros comuns de ortografia (faecbook [.] Com) ou subdomínios para ocultar o domínio real fora da tela (facebook [.] com.long.subdomain.that.will.not.be.fully.shown.on.mobile.devices.com).
Ferramenta também recebe alertas por email
Além disso, o Facebook também adicionou a capacidade de alertar os proprietários de domínios via e-mail quando um novo domínio suspeito de phishing aparece nos registros de CT.
Relatórios anteriores e pesquisas mostraram que os ataques de phishing costumam ser os mais eficazes nas primeiras horas após o início de uma campanha de phishing. Portanto, receber alertas e agir o mais rápido possível pode evitar um grave incidente de segurança cibernética para seus usuários ou funcionários.
Depois que os proprietários do domínio estiverem cientes desse domínio, eles poderão entrar em contato com a autoridade de certificação que o revogou, contatar os fornecedores de navegador para colocar o domínio na lista negra, entrar em contato com os registradores de domínios para suspendê-lo e também alertar funcionários ou usuários sobre um ataque .
No caso de alguns webmasters não possuírem uma conta no Facebook, existem alternativas auto-hospedadas para essa ferramenta, como o Certstreamcatcher . Outra ferramenta que monitora logs de CT, mas não o alerta sobre domínios de phishing, é o Cert Spotter .
Os desenvolvedores do Facebook têm uma pequena obsessão em detectar tentativas de phishing e por um bom motivo, já que precisam proteger mais de 2,2 bilhões de usuários. No passado, eles adicionaram recursos anti-phishing às contas do Facebook, mas também concederam prêmios por novas técnicas anti-phishing.