Spammers abusam do serviço de encurtamento de URL .gov em esquemas de trabalho em casa

Spammers encontraram uma maneira de abusar de um serviço de encurtamento de URL destinado a atividades de mídia social do governo dos EUA para criar URLs de.gov desonestos para golpes em casa.

Pesquisadores de segurança da Symantec detectaram uma nova campanha de spam por email que tenta induzir os usuários a visitar URLs com o nome de domínio 1.usa.gov. Este domínio foi criado como resultado de uma parceria entre o USA.gov, o portal oficial do governo dos EUA e o serviço Bitline URL encurtador.

[Outras leituras: Como remover malware do seu PC com Windows]

para uma página de instruções em USA.gov, quando qualquer um usa Bitly.com para encurtar URLs que terminam em.gov ou.mil, o serviço irá gerar um short URL sob o domínio 1.usa.gov.

“Um curto O URL pode levar um usuário a um site confiável ou a um site de spam, mas o usuário não teria como saber antes de clicar nele. É por isso que o USA.gov tornou mais fácil para as pessoas criar URLs.gov curtas e confiáveis ​​que apontam apenas para informações oficiais do governo dos EUA ”, explica a página da Web.

No entanto, parece que os spammers descobriram uma maneira de abusar o serviço e a confiança inerente associados a URLs.gov explorando scripts de redirecionamento abertos encontrados em alguns sites.gov

Os scripts de redirecionamento são usados ​​pelos proprietários de sites para rastrear cliques para URLs de terceiros listados em seus sites, para exibir avisos para usuários que estão deixando o site ou para outros fins. No entanto, esses scripts costumam ficar desprotegidos e abertos para qualquer destino, o que resulta em vulnerabilidades de redirecionamento aberto.

“Usando uma vulnerabilidade de redirecionamento aberto, os spammers conseguiram configurar uma URL 1.usa.gov que leva a um site de spam ”, disse o pesquisador da Symantec, Eric Park, em um post no blog. Em particular, os remetentes de spam usaram um script de redirecionamento aberto do site do Departamento de Trabalho do Vermont no Labor.vermont.gov, disse ele.

Primeiro, os spammers por trás dessa campanha criaram sites fraudulentos disfarçados de sites de notícias financeiras que contêm artigos. sobre oportunidades de trabalho em casa. Esse tipo de golpe existe há anos e seu objetivo é convencer os usuários a pagar por kits iniciais ou assinaturas de serviços que supostamente permitiriam que eles começassem a ganhar dinheiro na Internet trabalhando em seus computadores domésticos.

Os sites fraudulentos usados nesta campanha foram hospedados em domínios como consumeroption.net, consumerbiz.net, workforprofit.net, consumerneeds.net, consumerbailout.net e outros.

Os spammers exploraram a vulnerabilidade de redirecionamento aberto no site labor.vermont.gov para criar URLs do formulário labor.vermont.gov/LinkClick.aspx?link=[scam website]. Esses URLs foram então passados ​​por Bitly para gerar URLs curtas 1.usa.gov, criando assim uma cadeia de redirecionamento em duas etapas.

“Embora se beneficiar de encurtadores de URL ou uma vulnerabilidade de redirecionamento aberto não seja uma nova tática, o fato de que os spammers podem utilizar um serviço.gov para criar seus próprios links é preocupante ”, disse Park.

As estatísticas públicas fornecidas pelo Bitly para os falsos URLs 1.usa.gov usados ​​nessa campanha de spam mostraram que os links tinham Foram clicados 43.049 vezes entre 12 de outubro e 18 de outubro, com um aumento significativo no volume de cliques em 18 de outubro.

“Os quatro principais países em uma base diária foram os Estados Unidos, Canadá, Austrália e Grã-Bretanha, Park disse. "Em conjunto, os Estados Unidos constituíram a maior fatia com 61,7% dos cliques."

URLs de Govs podem inspirar um grau maior de confiança. No entanto, os usuários devem sempre ter cuidado ao abrir links, independentemente de onde eles apontam, disse Park.