Pular para o conteúdo principal

A pescaria virtual e os perigos dos encurtadores de URLs

Como estou tentando manter uma rotina de escrita para o blog, agora voltada aos sábados, achei por bem trazer neste post uma correlação e análise referente aos encurtadores de URLs e o phishing scam.


O que é o phishing scam?

Pishing scam nada mais é do que uma pescaria virtual, uma das formas de fraude eletrônica, “caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea” (fonte: Wikipedia).
Em outras palavras, o que caracteriza essa pescaria virtual é a utilização de engenharias sociais diferenciadas, todas elas sugerindo ou indicando ao destinatário que execute alguma ação (geralmente, clicar no link mostrado no e-mail) ou preste algumas informações. As formas de engenharia sociais, como dito, são variadas. Incluem desde aspectos que levem a sensação de medo, ganância, curiosidade etc., vindo associadas, ancoradas por algum item, aspecto ou logo de marca ou marcas conhecidas, bem como utilizam o chamado “efeito saliência”, ou seja, dados ou notícias que estão circulando atualmente na mídia nacional e internacional.
Um bom exemplo está abaixo, usando a curiosidade como principal aspecto a levar com que o usuário clique nos links e “em tese, veja as fotos”:

clip_image002[1]


Como se vê no phishing acima, a técnica usada pelo “engenheiro social” foi de encurtar o link original para disfarçar a existência de uma fraude vinculada.

Os encurtadores de URLs

Os chamados sites que encurtam URLs não são novos (o primeiro conhecido foi o CJB.NET), mas tiveram um “upgrade” em utilização com o crescimento e disseminação do Twitter. Por isso, a função principal deles é reduzir uma grande URL em poucas letras, facilitando a vida dos twitteiros, que tem apenas 140 caracteres para se manifestar num tweet.


Vejam um exemplo, relativo a um artigo que escrevi juntamente com o Sandro Suffert sobre as Pirâmides e os perigos no Twitter:
Link encurtado: http://bit.ly/6QPYb0

Os perigos dos encurtadores de URLs
O perigo dos encurtadores de URLs é bem claro, pois esconde há o mascaramento da URL original, o que favorece aos links fraudulentos, que contém o caminho para a instalação de algum código malicioso (vírus ou cavalos de tróia, geralmente).
Na sequência, um exemplo (um RT do @hordones de um tweet meu) de que o simples passar do mouse sobre o link encurtado não revela o link original:
Encurtador de Url - tt

As soluções para os internautas revelarem os links originais
Felizmente, foram criadas várias soluções diferenciadas para os internautas buscarem saber quais os links originais. Existem sites que fazem tal trabalho e também alguns aplicativos agregados aos navegadores. Vejamos:

Sites reveladores de links encurtados
Existem vários sites que auxiliem o internauta a revelar o link original e saber o que está por trás de uma URL encurtada, podendo, aí sim, decidir se clica ou não. Vamos às opções:


- Bit.ly (http://bit.ly/): o próprio encurtador de URL oferece uma opção de revelação do link original, bastando acrescentar à URL encurtada o sinal de “+”. Então, no exemplo acima pegaríamos a URL http://bit.ly/aTZTYv e acrescentaríamos o “+” no navegador de internet e clicando no “enter” teríamos:
Encurtador de Url - bit


- KnowUrl (http://knowurl.com/): é bastante simples em utilização, pois basta copiar a URL que deseja revelar e colar no campo e clicar em “Show URL”, conforme imagem a seguir, onde peguei o link com fraude e fiz a revelação do link original:
Encurtador de Url - know


- Outros sites encurtadores de URL indicados:
Preview URL: http://prevurl.com/

Aplicativos para navegadores:
- Firefox: Long Url Please
- Chrome: Chromed Bird


O Chromed Bird realmente facilita o trabalho, pois revela o link original com o simples passar do mouse sobre o link encurtado:
Encurtador de Url - bird


A sugestão é “ficar ligado” com os links encurtados, principalmente aqueles que vem por e-mail!!. Por isso, espero ter contribuído para um pouco mais de segurança dos internautas que acompanham o blog. Boa leitura!!

Comentários

Kinha disse…
Emerson, claro que me ajudou e muito.
Agradeço as informações que me foram utéis.
Obrigada.
Anônimo disse…
Acredito que a grande maioria das pessoas que caem nestas "armadilhas" são aquelas curiosas e desatentas. Se observassem melhor, estes tipos de mensagem possuem erros grotescos de português (um grande mal hoje em dia). Se não há como reconhecer um link porque clicar?
Outro bom exemplo, são os emails de bancos. Todos eles já avisam em suas páginas que não enviam mensagem e não pedem dados do usuário, então porque clicar... e ainda, quem não tem conta em determinado banco, o porque abrir uma mensagem direcionada supostamente por aquela empresa. E por aí vai.
Estou adorando o blog, desculpe a delonga.
Abraços
Tânia
Max Martins disse…
Excelentes informações, Emerson!

As únicas URL encurtadas que acesso são as do Twitter. Com a sua dica, instalei a extensão do Chrome (Bird). Agora vou ficar mais tranquilo.

Um forte abraço
@David_Nobrega disse…
Perfeito.

Existem outros aplicativos que podem ser usados, invés do acesso de contas do twitter diretamente via navegador. Tweetdeck (instalado em seu computador) e Hootsuite (meu preferido, já que não preciso instalar nada) já usam, ao lado das URL´s encurtadas, um aplicativo para conferir o endereço de destino.
De qualquer maneira, vale a lei dos e-mail´s: se você não conhece o rementente, não clique no link. Se voc~e conhece, desconfie.

Abraços!

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook:
Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil.
Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDARua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000
- Fonte: Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas forças da lei (law enforcemen…

Estamos entre os melhores Delegados de Polícia, segundo Censos de 2017, 2018 e 2019

No ano de 2017 já havíamos sido agraciados com a distinção e citação dentre os melhores Delegados de Polícia na Categoria Jurídica. 


Em 2018 e 2019, segundo o Portal Nacional dos Delegados, fomos novamente escolhidos, dentre os Melhores Delegados de Polícia do Brasil, na Categoria Gestão.


Assim, ficamos muito lisonjeados pelo reconhecimento nacional em termos de gestão, especialmente pelo trabalho frente ao Conselho Nacional de Chefes de Polícia Civil, o CONCPC, e, também, da atividade de inteligência. Vejam a lista completa dos agraciados de 2019, clicando aqui.

Seguimos em frente. Deixamos a Chefia da Polícia Civil do RS, deixamos a área de inteligência, porém na vamos continuar nos dedicando à atividade de Segurança Pública.

Recomendações a pais, professores e escolas quanto às ameaças de atentado

Pós fato Suzano/SP, o alvoroço nas mídias sociais foi muito grande. Em alguns Estados mais do que outros. Muita trollagen para gerar pânico. Sendo assim, é importante algumas precauções por parte dos colégios/escolas:

Existência de meios físicos de contenção e controle:

- catraca/controle eletrônico de acesso
- controle de entrada e saída de visitantes, com registros de dados
- videomonitoramento, com gravação por pelo menos 10 dias. Ideal é 30 dias

Mecanismos preventivos:

- formatar equipe (interna ou mista interna/externa) de avaliação de ameaças;
- definir comportamentos por ordem de risco e necessidade de contingenciamento;
- definir condutas que demandam intervenção imediata (por exemplo, porte de arma, postagem em redes sociais);
- criar e gerir um sistema anônimo que permita reportar informações com condutas de risco (e-mail, telefone etc.);
- promover ambiente alicerçado em uma cultura de segurança, respeito, confiança e apoio emocional;
- incentivar alunos a compartilhar suas …