Como identificar que você está em um site hackeado

Golpistas querem roubar suas senhas e dados financeiros com sites falsos. Mas onde eles os hospedam e como identificar uma falsificação?

Atenção: centenas de milhares de sites são falsos. Eles são feitos para se parecerem com sites de lojas online populares, bancos e serviços de entrega, mas com outro objetivo: roubar suas senhas e dados financeiros. As vítimas são atraídas para esses sites por emails de phishing, bate-papos no Messenger e até mesmo anúncios pagos. Mas não se desespere: mesmo se você clicar em um link potencialmente mal-intencionado, talvez você ainda consiga escapar das garras dos golpistas sem perder nada. Mas isso desde que você detecte a falsificação a tempo.

Onde os sites de phishing são hospedados?

Às vezes, os golpistas criam um novo site especial e o registram com um nome semelhante ao do site original (por exemplo, netflik.com em vez de netflix.com). Vale a pena conferir nosso post separado sobre nomes falsos. Mas esses sites são caros de criar e fáceis de bloquear, então muitos cibercriminosos seguem um caminho diferente. Eles hackeiam sites legítimos de um assunto qualquer e, em seguida, criam suas próprias subseções onde publicam páginas de phishing. Muitas vezes, pequenas e médias empresas são vítimas de hacks desse tipo porque não têm os recursos para atualizar e monitorar constantemente seus sites. Às vezes, uma invasão de site pode passar despercebida por anos, o que é simplesmente um banquete para os cibercriminosos.

Um dos sistemas de gerenciamento de conteúdo da Web mais populares é o WordPress e, portanto, o número de sites invadidos na plataforma chega a dezenas de milhares. No entanto, uma vez sabendo o que procurar, não é difícil detectar esses sites por conta própria.

Primeiro sinal de falsificação: inconsistência entre o nome e o endereço do site

Ao seguir um link em um e-mail, postagem de mídia social ou anúncio, vale a pena dar uma olhada no URL do site para o qual você é levado. Se for um site hackeado, a discrepância estará na frente dos seus olhos. O nome do serviço que o site falso finge ser pode aparecer em algum lugar no caminho do diretório, mas o nome de domínio será completamente diferente. Por exemplo: www.medical-helpers24.dmn/wp-admin/js/js/Netflix/home/login.phpTodo mundo sabe que a Netflix está em netflix.com. Então, o que ela está fazendo em medical-helpers24?

Parece a Netflix, mas o URL diz phishing

Verificar o URL requer um pouco mais de esforço em dispositivos móveis porque muitos aplicativos abrem os links de uma forma que o endereço do site não é visível ou é apenas parcialmente visível. Nesse caso, clique na barra de endereço do navegador para ver o endereço completo do site.

Segundo sinal de falsificação: elementos do caminho do diretório

Ao consultar o endereço completo de uma página da Web, preste atenção à parte final do URL após o nome do domínio. Ele pode ser um pouco longo, mas concentre-se apenas nas primeiras partes.

As subseções invadidas do site geralmente estão ocultas nos diretórios do serviço WordPress, portanto, o endereço provavelmente conterá elementos como /wp-content//wp-admin/ ou /wp-includes/.

Em nosso exemplo www.medical-helpers24.dmn/wp-admin/js/js/Netflix/home/login.php, um desses elementos está logo após o nome de domínio, confirmando nossas suspeitas de que o site foi comprometido.

É provável que o URL termine em .php. Páginas com a extensão .php são bastante comuns, mas isso por si só não é um sinal de invasão. Mas, em combinação com esse caminho de diretório, a extensão .php é uma evidência convincente de culpa.

Terceiro sinal de falsificação: o site tem um assunto diferente

Se o nome do site parecer estranho ou suspeito, você pode realizar uma verificação adicional indo para a página inicial. Para fazer isso, exclua o final do URL, deixando apenas o nome do domínio. Isso deve abrir a página do verdadeiro proprietário do site, que será totalmente diferente da página de phishing, tanto no assunto quanto no design. Ela pode até estar em um idioma diferente, como no exemplo abaixo.

Phishing francês em um site chinês

Seus dados pessoais em um site falso

Pode acontecer que alguns campos de informações (como seu endereço de email ou número do cartão bancário) sejam pré-preenchidos corretamente mesmo em um site de phishing. Isso significa que os invasores de alguma forma conseguiram um banco de dados de dados pessoais roubados e estão tentando enriquecê-lo com informações adicionais, como senhas e números CVV. Para isso, eles publicam uma tabela com dados conhecidos sobre as vítimas, e isso geralmente pode ser baixado gratuitamente do site. Portanto, se você vir o número do cartão real em um site falso, emita novamente o cartão imediatamente e pense em medidas de segurança adicionais para outros dados pessoais. Por exemplo, se seu e-mail vazou, proteja seu login de email com uma senha mais forte e certifique-se de ativar a autenticação de dois fatores.

Como se proteger contra phishing

  • Esteja sempre atento. Para que as dicas acima funcionem, lembre-se de verificar todos os links em que clicar.
  • Verifique os links antes de clicar neles — alguns ataques não exigem que a vítima faça nada além de acessar o site infectado. No computador, mova o ponteiro do mouse sobre um link para mostrar o URL de destino real. No smartphone, toque e segure o link com o dedo para ver o URL no menu pop-up.
  • É melhor acessar endereços importantes (seu banco, servidor de email etc.) por meio de marcadores ou digitando-os manualmente, e não por meio de links em emails.
  • Instale soluções de segurança em todos os computadores, tablets e smartphones. O phishing pode chegar até você em qualquer dispositivo, portanto, use o Kaspersky Premium para manter todos os seus companheiros digitais seguros.

fonte: https://www.kaspersky.com.br/blog/how-to-spot-phishing-on-a-hacked-wordpress-website/21715/