Ataques de phishing, no qual usuários desatentos clicam em links maliciosos ou entregam suas informações de login, geralmente se valem de domínios que se parecem muito com o site que estão tentando imitar. Por exemplo, um atacante pode registrar um domínio como faceb00k[.]com e usá-lo para roubar as credenciais de login dos usuários do Facebook. A menos que a pessoa examine com cuidado o link, ela pode não perceber que as letras “O” foram substituídas por zeros.

• A brecha que simula sites e dribla o HTTPS é bem perigosa – e consegue enganar o Firefox
• Como o Google combate ladrões de senhas

Mas ultimamente, sites de phishing também têm usado certificados TLS, que estabelecem uma conexão criptografada (via HTTPS). Assim, eles conseguem parecer legítimos. Os navegadores sempre mostrarão esses sites com certificados TLS como se fossem seguros, e golpistas estão se aproveitando disso, como já comentamos aqui.

É um problema que o Facebook quer combater – por isso estão lançando uma nova ferramenta que ajuda desenvolvedores a protegerem seus domínios.

“O site de phishing pode se parecer idêntico ao site real em uma tentativa de enganar pessoas e fazê-las dar suas informações pessoais”, escreveram membros do time de segurança de produto do Facebook em uma publicação em seu blog. “Para tornar os domínios maliciosos mais críveis, os atacantes de hoje em dia validam certificados TLS. Devido a presença de um certificado válido de segurança, os browsers podem mostrar um indicador ‘seguro’ – um cadeado verde ou a palavra ‘seguro’ – para um site malicioso”.

O Facebook está adicionando um sistema de alerta à sua Ferramenta de Monitoramento de Transparência de Certificados, que notificará desenvolvedores quando determinados certificados forem registrados para domínios que talvez sejam usados em ataques de phishing.

“Toda vez que um novo certificado aparece em qualquer Log de Transparência de Certificados, nossa ferramenta analisa os domínios especificados pelo certificado e procura por tentativas de phishing”, escreve o time de segurança do Facebook. “Se a ferramenta suspeitar que o domínio está associado com phishing, ela poderá notificar assinantes da ferramenta ao enviar um email ou uma notificação, dependendo da preferência”.

O Facebook utiliza a ferramenta de monitoramento para verificar seus próprios domínios e já pegou uma série de ataques comuns. Desenvolvedores podem configurar a verificação de seus domínios utilizando as ferramentas do Facebook.

Se os desenvolvedores pegarem sites de phishing que tentarem se passar por seus próprios domínios, eles podem reportar o endereço para os registradores, navegadores e pedir para que autoridades de certificados o revoguem.

“Ao tomar iniciativas para derrubar maus domínios que são criados apenas para enganar pessoas, websites legítimos podem proteger seus sites e ajudar a prevenir que outras pessoas caiam em golpes”, completa a publicação.

Imagem do topo: Marcio Jose Sanchez (AP Photo)