Ao discutir as artimanhas dos cibercriminosos, sempre recomendamos que você observe cuidadosamente a URL ao clicar em um link inserido em e-mails. Mas existe outro alerta vermelho – um link para uma página traduzida usando o Google Tradutor. Na teoria, pode ser que o remetente do e-mail esteja convidando você para visitar um site em um idioma diferente e tentando ser proativo. Na prática, no entanto, essa técnica é usada com mais frequência para contornar os mecanismos antiphishing. Se a mensagem fizer parte de uma correspondência comercial e o site aberto após você clicar no link solicitar suas credenciais de e-mail, feche a janela do navegador e exclua o e-mail imediatamente.
Por que invasores estão usando o Google Tradutor
Vamos dar uma olhada em um exemplo recente de phishing por meio de um link do Google Tradutor capturado por nossas ações de monitoramento e análise:
Os remetentes do e-mail alegam que o anexo é algum tipo de documento de pagamento disponível exclusivamente para o destinatário, que deve ser estudado para uma “apresentação de reunião de contrato e pagamentos posteriores”. O link do botão ‘Abrir’ aponta para um site traduzido pelo Google Tradutor. Porém, isso fica claro apenas ao clicar nele, pois no e-mail aparece assim:
A redação estranha talvez seja intencional – uma tentativa dos invasores de criar a impressão de não serem falantes nativos de inglês para fazer o link do Google Tradutor parecer mais convincente. Ou talvez eles nunca tenham visto um e-mail real com documentos financeiros. Preste atenção nos dois links abaixo (“Cancelar inscrição desta lista” e “Gerenciar preferências de e-mail”), bem como o domínio sendgrid.net no link.
Esses são sinais de que a mensagem não foi enviada manualmente, mas por meio de um serviço de correio legítimo — no caso, o serviço SendGrid, mas qualquer outro provedor de e-mail poderia ter sido usado. Serviços desse tipo normalmente protegem sua reputação e excluem periodicamente campanhas de e-mail destinadas a phishing e bloqueiam seus criadores. É por isso que os invasores executam seus links por meio do Google Tradutor – os mecanismos de segurança do provedor veem um domínio legítimo do Google e não consideram o site suspeito. Em outras palavras, é uma tentativa não apenas de enganar o alvo do usuário final, mas também os filtros do serviço intermediário.
Como é um link para uma página traduzida pelo Google Tradutor?
O Google Tradutor permite que você traduza sites inteiros simplesmente passando um link e selecionando os idiomas de origem e destino. O resultado é um link para uma página em que o domínio original é hifenizado e a URL é complementada com o domínio translate.goog, seguido do nome da página original e das chaves que indicam em quais idiomas a tradução foi feita. Por exemplo, a URL da tradução da página inicial do nosso blog em inglês www.kaspersky.com/blog para o espanhol ficará assim: www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.
O e-mail de phishing que analisamos procurou atrair o usuário aqui:
A barra de endereços do navegador, apesar da sequência de caracteres inúteis, mostra claramente que o link foi traduzido pelo Google Tradutor.
Como se manter seguro
Para evitar que os funcionários da empresa caiam em truques de cibercriminosos, recomendamos atualizar periodicamente seus conhecimentos sobre táticas de phishing (por exemplo, enviando links relevantes para nosso blog) ou, melhor ainda, conscientizá-los sobre as ciberameaças atuais com a ajuda de ferramentas de aprendizagem especializadas. A propósito, no exemplo acima, um usuário treinado nunca teria chegado à página de phishing — as chances de um documento financeiro legítimo endereçado a um destinatário específico ser enviado por meio de um provedor de e-mail marketing são muito pequenas, na melhor das hipóteses. Um tempo atrás, postamos sobre phishing baseado nesse tipo de ferramenta.
Para ter uma segurança extra, nós recomendamos adicionalmente a utilização de soluções com tecnologias antiphishing que atuem tanto no nível de servidor do e-mail corporativo quanto nos dispositivos de todos os empregados.
Fonte: Blog Kaspersky