Pesquisadores da Varonis alertam que invasores estão utilizando URLs personalizáveis?(também conhecidas como URLs de vaidade)?de softwares como serviço (SaaS) para criar links de phishing mais convincentes. A técnica é adotada para links gerados por meio do Box, Zoom e Google com nomes de companhias com credibilidade no mercado.
Cibercriminosos podem produzir endereços curtos de páginas na internet vinculados às plataformas e com o nome de uma empresa específica, convidando à participação em uma videoconferência ou ao compartilhamento de documentos on-line, por exemplo, e gerando ataques a partir disso.
Segundo os pesquisadores, os agentes de ameaças utilizam suas próprias contas SaaS para gerar links para conteúdo malicioso (arquivos, pastas, páginas de destino, formulários, etc.) que parecem estar hospedados pela conta SaaS sancionada por outra empresa.
O?Box, serviço de armazenamento na?nuvem, oferece planos para negócios com a opção de customizar o subdomínio para acessar e compartilhar documentos. Quando um arquivo é compartilhado pelo Box, um link genérico é criado. A Varonis descobriu que, em alguns casos, invasores conseguem colocar qualquer nome de empresa no URL genérico que o link ainda funcionará, fazendo com que a URL pareça legítima.
Invasores ainda podem adicionar uma proteção com senha para o arquivo ganhar uma melhor aparência de segurança, ou uma logomarca para remeter à companhia que eles estão falsificando.
O Zoom também permite que organizações tenham uma URL customizável para páginas de registro em webinars, páginas de login de funcionários, reuniões, gravações, entre outras funcionalidades. A ferramenta possibilita o upload de logomarca e alteração de cores. Um invasor consegue mudar a URL de uma gravação dele para o domínio de uma companhia, para parecer que aquele conteúdo pertence a ela.
Em alguns casos, isso gera um aviso de alerta ao usuário, indicando que aquele conteúdo é externo. Mas, em outros, é possível customizar a URL sem gerar o aviso. Uma página de registro em um webinar, por exemplo, pode ganhar o nome e logo de uma empresa com credibilidade, e esse formulário ser usado para capturar senhas e informações pessoais de funcionários daquela companhia.
Os especialistas constataram que outras ações parecidas podem ser realizadas nessas mesmas plataformas e também pelo Google Docs e pelo Google Forms. A Varonis alerta que URLs customizáveis são ferramentas interessantes para oferecer uma experiência personalizada a clientes, quando implementadas com segurança. Mas, como testado, essas URLs também podem ser falsificadas e, portanto, devem ser tratadas com cautela, como qualquer outro link que circule pela internet.
