A Linktree, uma página de destino de referência de redes sociais, é uma forma popular e fácil de alojar páginas biográficas no Instagram, no TikTok e noutras plataformas de redes sociais.
É uma forma simples de ter uma hiperligação para a sua biografia, os nomes das redes sociais e qualquer outra informação. Em apenas alguns minutos, e sem necessidade de conhecimentos de programação, qualquer pessoa pode direcionar os seus seguidores para informações importantes.
Os piratas informáticos estão agora a utilizá-lo para levar as vítimas a fornecerem as suas credenciais.
Neste resumo do ataque, os investigadores da Avanan, uma empresa de software da Check Point Software, fornecedor líder mundial de soluções de cibersegurança, irão discutir a forma como os hackers estão a criar contas gratuitas no Linktree e a utilizá-las para enviar os utilizadores para páginas de recolha de credenciais.
Linktree: o ataque
Neste ataque, os hackers estão a criar páginas Linktree legítimas para alojar URLs maliciosos para recolher credenciais.
- Vetor: E-mail
- Tipo: Recolha de credenciais
- Técnicas: Engenharia social, URL Nesting
- Destinatários: Qualquer utilizador final
Exemplo de e-mail:
1º Passo:
Neste ataque, os utilizadores finais recebem um e-mail com uma notificação falsa do Microsoft OneDrive ou do Sharepoint de que um ficheiro foi partilhado com eles, dando-lhes instruções para abrir o ficheiro.
Este e-mail faz um bom trabalho ao falsificar uma página de partilha de documentos do Microsoft OneDrive ou Sharepoint, embora não seja legítimo. Nota-se que o URL está errado. Primeiro, há o ‘URLdefense.Proofpoint.’ no início do URL. Isso refere-se à proteção de tempo de clique da Proofpoint. (E significa que o alvo deste ataque também tinha Proofpoint.) Envolve a ligação e testa ao clicar, mas como é Linktree, qualquer análise mostrará que está limpo.
2º Passo:
O URL no e-mail redireciona as vítimas para a página do Linktree. Aqui o hacker construiu um simples botão que as redirecionar para a terceira e última página.
3º Passo:
Finalmente, o utilizador é redirecionado para esta página falsa de login do Office 365, onde lhe é pedido que introduza as suas credenciais. É aí que essas credenciais serão prontamente roubadas.
Técnicas
Tirar partido de websites legítimos para alojar conteúdos maliciosos é uma forma segura de entrar na caixa de entrada.
A maior parte dos serviços de segurança analisará a ligação – neste caso, o Linktree – e verá que é legítima e aceitará a mensagem. Isso acontece porque ela é legítima.
Os serviços de segurança de correio eletrónico podem procurar outras pistas, como o contexto e o endereço do remetente. Mas, em geral, isso só conta parte da história, especialmente quando a ligação está limpa.
Isso significa que imitar a página por trás do URL é muito importante. Isso ajuda a indicar que a página final é maliciosa.
Cabe também aos utilizadores fazer alguma pesquisa. Devem pensar: porque é que esta pessoa me enviaria um documento através do Linktree? Muito provavelmente, não seria esse o caso. Tudo isto faz parte da sensibilização para a segurança – compreender se é um e-mail ou se o processo parece lógico.
Os piratas informáticos apostam, naturalmente, que os utilizadores não darão esses passos extra. Muitos não o fazem. Os utilizadores verão um documento que lhes é destinado e seguirão o processo para o abrir, mesmo que isso signifique esquecer as boas práticas de segurança.
Basta um momento apressado, para causar grandes danos numa organização.
Essa abertura é tudo o que o hacker precisa.
Melhores prática: orientações e recomendações
Para se protegerem contra estes ataques, os profissionais de segurança podem fazer o seguinte:
- Verificar sempre o endereço do remetente antes de responder a uma mensagem de correio eletrónico
- Pare e pense se o meio que está a ser utilizado para entregar um ficheiro é típico
- Ao iniciar sessão numa página, verifique novamente o URL para ver se é da Microsoft ou de outro site legítimo
