Quer irritar o seu departamento de TI? Seus links não parecem maliciosos o suficiente?

 (phishyurl.com)
1 pontos por GN⁺ 2025-09-19 | 1 comentários | Compartilhar no WhatsApp
  • Esta ferramenta oferece a função de transformar qualquer URL para que pareça maliciosa
  • Ao contrário do TinyURL, em vez de encurtar, ela a deixa com uma aparência mais suspeita
  • Na prática, o link inserido ainda leva ao endereço original por meio de um redirecionamento web
  • O link de phishing (phishy) gerado só parece inquietante por fora e não realiza nenhuma ação maliciosa adicional
  • O usuário pode colar um link no campo de entrada e clicar no botão para obter um link com “cara de perigoso”

Introdução e principais recursos

Esta ferramenta é um site que, quando o usuário insere o endereço de um site desejado, converte esse endereço para que ele pareça suspeito, como se fosse um link de phishing

  • O funcionamento é semelhante ao de serviços de conversão de links como o TinyURL, mas o resultado não é um link mais curto, e sim um link com aparência mais arriscada
  • O princípio é um redirecionamento simples: mesmo ao clicar no link resultante, o usuário será levado apenas ao endereço original informado
  • Ao inserir um link no campo fornecido e clicar no botão, é possível obter imediatamente um link de phishing visual que causa desconforto
  • O link gerado não contém malware de fato e apenas parece suspeito visualmente

Casos de uso e observações

  • Embora o link em si seja seguro, usá-lo dentro de uma empresa ou organização pode causar confusão no departamento de TI
  • Ele pode ser usado em treinamentos de resposta a phishing, testes de engenharia social e outros cenários em que se queira experimentar o quanto a aparência do link afeta a confiança
  • Dependendo das normas ou políticas de segurança da empresa, é necessário confirmar previamente se o uso é permitido

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-19
Comentários do Hacker News

  • Ha! Pensei algo parecido também. Na nossa empresa existe uma coisa que faz até links legítimos parecerem maliciosos. Acho que chamam isso de Microsoft Safelink. O objetivo é ocultar todos os links da caixa de entrada do Outlook, de modo que você não consiga saber o que é ao clicar. No fim, a gente fazia a piada de que ninguém é demitido por comprar Microsoft

    • Há alguns meses, os servidores da Microsoft ficaram fora do ar ou realmente muito lentos, e nessa hora experimentei todos os links dos e-mails simplesmente não funcionarem
    • Me identifico demais com isso. O ProofPoint também filtra links de forma parecida

  • Isso aqui não é ruim
    https://carnalflicks.online/var/lib/systemd/coredump/logging...

    • Sinceramente, eu esperava que acontecesse isso[1]. Pelo visto, no HN esse tipo de coisa não aparece muito
      1: https://pc-helper.xyz/scanner-snatcher/session-snatcher/cred...
    • Não sei por quê, mas clicar num link desses quando ele está no topo da página é estranhamente satisfatório
    • De alguma forma isso parece suspeito, o NoScript me mostrou um alerta de XSS <_<

  • Isso aqui é bom para rodar em loop infinito
    https://gonephishing.me/shell-jacker/shell-jacker/worm_launc...

  • Toda esta conversa me lembra uma situação ridícula numa empresa onde trabalhei no passado. A empresa enfatizava aos funcionários que passassem o mouse sobre o link para verificar se era o site oficial do remetente. Só que as pessoas continuavam caindo em links de phishing, então compraram um equipamento da Trend Micro para escanear e-mails e reescrever em lote todos os links para o serviço de varredura de URL deles. Assim, todos os links passaram a aparecer como “https://ca-1234.check.trendmicro.com/?url=...;”. A partir daí, na empresa ninguém conseguia clicar em link nenhum dentro dos e-mails. Claro que, por causa da reescrita de URL, uma boa parte dos links deixou de funcionar, então quando eu recebia um alerta de incidente de manhã precisava ligar o laptop, entrar manualmente no Pagerduty ou no Sentry e procurar de novo no e-mail os detalhes do incidente

    • Tive uma experiência engraçada no sentido oposto. Quando trabalhei numa Global MegaCorp, a empresa às vezes mandava e-mails de phishing de propósito para treinamento, e se você clicasse no link isso ficava registrado, então depois de cair duas ou três vezes você tinha que refazer o treinamento. No fim, todo mundo aprendeu a não clicar em links de e-mail. Funcionou. Só que depois, quando enviaram o e-mail da pesquisa anual para todos os funcionários, ninguém clicou no link, então precisaram mandar outro aviso dizendo "este e-mail da pesquisa é de verdade, pode clicar"
    • Recentemente recebi um e-mail na minha conta pessoal da AWS dizendo que futuras faturas seriam enviadas por "no-reply@tax-and-invoicing.us-east-1.amazonaws.com" e que eu deveria mudar minhas regras automáticas de processamento de faturas para esse endereço. Isso foi realmente uma idiotice. Se eu visse um e-mail vindo de um remetente desses, eu também presumiria imediatamente que era spam ou phishing. No fim, a AWS voltou atrás nessa política. Como referência, normalmente os e-mails vêm de endereços com aparência mais oficial, como "no-reply-aws@amazon.com" ou "aws-marketing-email-replies@amazon.com"

  • Você pode simplesmente denunciar esses e-mails obrigatórios de compliance como tentativas de phishing. Trabalhei em várias grandes empresas, e os e-mails anuais de confirmação de segurança de TI normalmente pareciam mensagens nocivas: formatação estranha, origem em URL externa suspeita, pedido de ação urgente, ameaça de punição em caso de violação etc. Gasta-se tanto dinheiro com treinamento e, no fim, só se dessensibiliza o usuário à ameaça

    • Se houver um cabeçalho de e-mail "X-PHISH", talvez até desse para adicionar uma regra

  • Acho que para levar alguém ao site seria melhor usar uma URL que parecesse ainda mais maliciosa
    https://pc-helper.xyz/root-exploit/virus_loader_tool.exe?id=...

  • O jeito realmente malicioso seria usar uma espécie de psicologia reversa

  1. Criar um site desses
  2. Deixar as pessoas testarem inserindo URLs importantes, como banco, rede social, e-mail etc.
  3. Deixar funcionar normalmente por um tempo e depois começar a redirecionar discretamente os visitantes para sites de phishing relacionados
  4. Como os usuários já teriam aprendido a ignorar avisos “obviamente falsos”, podem ficar menos alertas numa situação de perigo real

  • Testei com o meu próprio nome de domínio e recebi um link no domínio
    https://cheap-bitcoin.online. Enviei essa URL para o VirusTotal, e apareceu que um mecanismo a classificou como malware. Ri demais, foi muito engraçado

  • Legal! Seria bom se o link gerado também pudesse incluir 'safelinks.protection.outlook' em algum lugar

  • Registrei o domínio "very-secure-no-viruses.email" e o uso como e-mail temporário. Fiz de propósito para soar o mais suspeito possível. Só que por causa disso muitas vezes a comunicação com o suporte vira uma confusão

    • Eu uso o endereço firstname@lastname.email, e as pessoas vivem apontando que isso está errado, como se não fosse porque não é email.com