Os ladrões estão aproveitando uma técnica útil e eficaz para roubarem dados de acesso aos principais programas da Microsoft, enviando mensagens para possíveis vítimas informando que há uma mensagem de áudio para eles, de acordo com o que descobriram os pesquisadores.
Uma equipe da Zscaler ThreatLabZ vem acompanhando uma campanha desde maio que tem como alvo várias indústrias nos Estados Unidos com e-mails de notificação de voicemail falsos com o objetivo de roubar as credenciais do Office365 e Outlook das vítimas, conforme relatado em um post recente. Tanto os e-mails quanto a página de roubo de credenciais parecem vir de fontes legítimas, o que torna a estratégia mais convincente, de acordo com os pesquisadores.
Na realidade, o Zscaler foi alvo da campanha, que os investigadores afirmaram ser similar àquela identificada pela ThreatLabZ em julho de 2020. Esse fato forneceu à ThreatLabZ uma perspectiva única de como a campanha opera.
Outras pessoas prejudicadas pela campanha mais recente abrangem empresas nos Estados Unidos em setores específicos, incluindo de segurança de software, militares, segurança, saúde, medicamentos e fabricação, afirmaram os investigadores.
Enquanto as táticas de marketing não se assemelham a um conto de fadas, as entidades maliciosas parecem estar adotando uma atitude “se não está quebrado, não conserte-o” para roubar identificações como meio de penetrar em redes organizacionais, segundo um especialista em segurança.
Infelizmente, eles ainda funcionam, e enquanto isso for verdade, os invasores aproveitarão essas oportunidades. Erich Kron, defensor da consciência de segurança da KnowBe4, empresa de segurança, informou Threatpost por meio de um e-mail.
Enquanto não se adotar uma nova medida, empregar notificações de correio de voz permanece altamente eficaz, já que se amalgama com os diferentes tipos de avisos que fazem parte dos nossos afazeres cotidianos”, foi o que se destacou.
Como opera um ataque de negação de serviço?
No entanto, o que destaca esta campanha de outros ataques que seguem uma temática similar é o seu envolvimento em “investigação e trabalho adicional, pois os ataques são individualizados para cada objetivo”, revelou ele.
Os hackers pretendem atrair seus alvos com um e-mail que alega que possuem uma nova mensagem de voz da organização em questão, segundo o ThreatLabZ. Para parecer verdadeiro, eles utilizam o nome da empresa alvo no campo “De”, assim como a marca de seu logotipo na própria mensagem.
As mensagens possuem um anexo de HTML que, se acessado, direciona o usuário para um website de phishing de detalhes de autenticação que é disfarçado para se assemelhar à página de login real da Microsoft.
Além disso, os atacantes usam um padrão uniforme para as URLs empregadas em seu processo de redirecionamento, os quais “possuem o nome da companhia alvo e o endereço de e-mail da pessoa direcionada”, notaram os pesquisadores.
Por exemplo, quando alguém em Zscaler recebe um endereço, isso vem no seguinte formato: zscaler.zscaler.briccorp[.]com/
O site de phishing credencial usa até mesmo a técnica de reCAPTCHA, desenvolvida pelo Google, que exige metas para garantir que não sejam identificados como “um robô”, bem como objetos em fotos para dar mais credibilidade à experiência. Esta tática usada anteriormente ajuda os atacantes a “escapar de ferramentas de análise de URL automatizadas”, como foi usado na campanha de julho de 2020, de acordo com a ThreatLabZ.
Ao passar pelo CAPTCHA, a vítima é encaminhada para a página de login legítimo do Microsoft Office 365 para inserir suas credenciais em um site controlado pelos atacantes, conforme mencionado no post. Análise realizada pela ThreatLabZ em relação aos cabeçalhos de e-mail usados na campanha mostrou que os ameaçadores usaram servidores de e-mail situados no Japão para os ataques, informaram os pesquisadores.
Prevenir o furto de dados confidenciais é fundamental. Tornar impossível que os infratores obtenham informações sigilosas é essencial. Desse modo, evitar o roubo de credenciais é uma questão primordial.
Conforme a campanha se mantém ativa, Krom da ThreatLabZ e KnowBe4 sugerem que as empresas repitam as práticas seguras de e-mail com seus funcionários para ter a certeza de que eles não estão entregando suas informações de acesso aos atacantes.
Como medida adicional de proteção, os usuários não devem abrir anexos em e-mails provenientes de fontes não seguras ou desconhecidas, segundo os pesquisadores. Para uma maior segurança, os usuários devem verificar o endereço URL na barra de endereços do navegador antes de inserir quaisquer detalhes de acesso, eles recomendaram.
De acordo com Kron, as organizações devem treinar seus funcionários sobre como identificar e informar tentativas de phishing, bem como verificar a barra de endereço do navegador para garantir que o site em que eles estão inserindo dados é autêntico.
Eles também podem recorrer à autenticação multifator para garantir que, mesmo que os trabalhadores esqueçam suas credenciais, haja uma camada de proteção adicional para que os invasores não consigam entrar na rede de computadores da empresa, acrescentou.
Mande este artigo para outras pessoas.
- Por gentileza, eu gostaria de pedir-lhe um favor.
