Phishing AT.PT
Não é novidade que a internet esconde inúmeros perigos, sendo um deles o phishing.
Phishing é um tipo de ataque cibernético em que agentes maliciosos tentam enganar as pessoas para que revelem informações pessoais sensíveis, como senhas, números de cartões de crédito ou detalhes bancários.
Esse tipo de ataque geralmente é realizado por meio de mensagens fraudulentas que aparentam ser de fontes crediveis, como bancos, redes sociais, empresas ou serviços conhecidos.
Um dos exemplos de phishing que iremos abordar envolve uma tentativa de se passar pela Autoridade Tributária Aduaneira.
O e-mail fraudulento contém um link que direciona a vítima para uma página que simula um típico webmail, com a intenção de recolha de credenciais de e-mail das vítimas.
O domínio do remetente despertou a minha atenção e decidi investigar mais a fundo.
Utilizei o serviço whois da pt.pt para consultar os dados do domínio.
Normalmente, quando um domínio .PT é registado em nome de uma empresa, os dados do titular são apresentados. Caso seja registado por um particular, devido ao RGPD, o titular permanece confidencial.
Realizei uma consulta aos registros DNS e observei que não havia nenhum registro MX definido, nem configurações de SPF ou DKIM.
Na minha opinião, a ausência de configurações de SPF e DKIM facilita o trabalho dos agentes maliciosos, permitindo-lhes utilizar vários servidores com IPs públicos diferentes sem que o e-mail seja rejeitado por meio de validação de SPF ou DKIM.
Um domínio com nome semelhante a um serviço público aumenta a probabilidade de sucesso do esquema. Portanto, é essencial estarmos atentos a esses detalhes.
Pensei noutros domínios que poderiam apresentar o mesmo perfil, como o domínio gob.pt, que é muito parecido com gov.pt, ou jm.pt, que se assemelha ao domínio do Ministério da Justiça (mj.pt).
Curiosamente, esses domínios também estão registados, tendo em comum a mesma Entidade Gestora.
O domínio gob.pt possui os mesmos Nameservers e configurações de zonas semelhantes ao domínio at.pt.
O domínio jm.pt contém inúmeros registos do tipo A, apontando para IPs com baixa reputação, presentes na base de dados AbuseIPDB.
Todos eles possuem uma zona do tipo A para o domínio em formato wildcard.
É crucial estarmos atentos a todos os detalhes para evitar cair em esquemas de phishing.