Os ataques informáticos existem em diversas formas e feitios, partilhando o mesmo objetivo: conseguir determinados dados dos utilizadores. O Magic Link é um dos muitos ataques que são utilizados nos dias que correm e que levam uma ligação que aparenta ser segura a transformar-se numa ligação maliciosa.
A Check Point Software, líder global de soluções de cibersegurança, explica como são criados estes Magic Links e como funcionam os ataques através deste método.
O Ataque do Magic Link
De forma muito resumida, os ataques de Magic Link são “apenas” ligações que conseguem mostrar-se como fidedignas e, após serem abertas, conseguem transformar-se e levar o utilizador para um site malicioso à escolha do atacante.
O meio mais comum de espalhar este tipo de ataques é via correio eletrónico, com um texto associado em que se fazem passar por alguma empresa de renome e que convidam o utilizador a carregar num determinado link.
Na imagem acima, podemos ver um exemplo de email utilizado para espalhar um Magic Link. Neste caso em concreto recorrem à conhecida marca McAfee onde se fazem passar pela empresa em questão para alertar o utilizador sobre a renovação do seu anti-virus.
À primeira vista, este tipo de estratégia lembra mais um ataque de phishing que outro tipo, mas a diferença está no link utilizado no botão “Renew Membership”. Neste caso em concreto, como explica a Check Point, o botão está ligado ao seguinte endereço IP: 0xd.0125.0×50.0236.
O endereço altera-se, automaticamente, para outro completamente diferente. Nesta situação o site em questão já foi mandado abaixo, daí a mensagem de erro, mas a alteração no IP associado ao link continua a ser realizada.
Há muita codificação por detrás. Muito provavelmente, este tipo de formato IP é chamado de formato “hexadecimal”. Isto significa que há ocultação que começa com 0x.
Antes de ser retirada, a ligação levava ao servidor Web que funcionava nesse endereço IP. A partir daí, o servidor pode efetuar algumas ações, como: mostrar conteúdo malicioso, forçar um download malicioso ou redirecionar o utilizador para outro site malicioso.
Ocultação é a técnica mais comum
Este é um tipo de ataque que comprova o ditado português: “Olhos que não veem, coração que não sente”. Isto porque, a forma como os atacantes utilizam os Magic link, fazem com que a vitima esteja a ver uma coisa mas o computador esteja a ler outra coisa completamente diferente.
O que acontece, no fundo, é que os atacantes escondem as suas intenções com a página alvo através de informação errada, mas que aparenta ser fidedigna. Como os filtros de URL não conseguem determinar a intenção de uma página oculta (pois o Magic Link apresenta-se como uma ligação normal), a mensagem maliciosa de correio eletrónico pode chegar até à caixa de entrada.
A ideia é bloquear os scanners anti-phishing para que não consigam detetar o perigo. Isto permite que o objetivo final, neste caso, os sites maliciosos, cheguem mais facilmente à caixa de entrada. Como os utilizadores não conseguem visualizar/detetar a ocultação, é mais provável que cliquem e acedam a esta ligação.
O exemplo partilhado não é, de todo, o melhor exemplo. A sua construção é fraca, recorrendo a um tipo de ataque muito comum (a renovação do anti-vírus) e com diferentes endereços de remetente e resposta diferentes e pouco legítimos. Além disso, tanto o Magic Link como o link para onde é redirecionado, não são comuns, sendo apenas endereços IP.
No entanto, este exemplo serve para mostrar como os hackers conseguem, facilmente, contornar algumas barreiras de segurança mais simples e fazer chegar um email malicioso, de forma fácil, às caixas de entrada de quase todos os utilizadores.
Isto faz parte do jogo do gato e do rato da cibersegurança. Os piratas informáticos encontram vulnerabilidades das quais a ocultação pode tirar partido; os sistemas de segurança, como a Microsoft ou a Google, corrigem-nas. E depois os piratas informáticos descobrem outra. E assim sucessivamente.No meio tudo isto, estão os utilizadores finais, que recebem estas mensagens e não sabem o que se passa nos bastidores.
A Check Point recomenda que sejam implementados, sempre que possível, medidas de segurança extra, pensadas para estas situações, começando por a implementação de um segurança que seja capaz de analisar todos os links e de simular a página por detrás dos mesmos.
Participe no passatempo:
