Uma combinação de páginas de phishing hospedadas em servidores legítimos e o uso de domínios aparentemente reais estão levando a uma onda de ataques contra corporações, com foco no roubo de credenciais. O golpe chega na forma de um e-mail de suporte, pedindo que o usuário realize uma verificação em sua caixa de entrada para voltar a receber mensagens e liberar o serviço novamente após algum tipo de problema.
É um texto confuso, mesmo, e que poderia indicar a incidência de um golpe logo de início não fosse a utilização das plataformas de cloud computing da Microsoft e IBM para hospedar o golpe. Além disso, os hackers parecem estar utilizando uma técnica que faz com que e-mails enviados a partir de um domínio cheguem como se tivessem vindo de outro, passando, assim, pelo crivo de softwares de segurança e mecanismos de proteção contra spam embutidos nas plataformas corporativas.
Na amostra analisada pelo site Bleeping Computer, o e-mail fraudulento chega em nome do site servicedesk.com, que não pertence a um serviço legítimo, e sim, a uma empresa de hospedagem que possui o domínio à venda. Entretanto, uma análise do header da mensagem revela o remetente verdadeiro, uma URL de origem americana que já vem sendo considerada por serviços de segurança como uma ameaça de nível alto. Tais artimanhas estão sendo usadas justamente por isso.
Caso clique no link que acompanha o e-mail, o usuário é levado a uma página de login simples, hospedada na nuvem da IBM e que simula uma tela de entrada de correio eletrônico. O processo é completado quando o usuário insere as credenciais — ele vê uma página de confirmação e é redirecionado ao site de sua empresa ou serviço de correio eletrônico, de acordo com o domínio utilizado, enquanto seus dados são enviados aos hackers que controlam o golpe
De acordo com os especialistas, ao hospedar seus sites de phishing em serviços reconhecidos, os criminosos também se aproveitam de certificados de segurança emitidos gratuitamente por eles. Além disso, a página de roubo de dados possui certo grau de sofisticação já que, se o usuário inserir uma senha pouco segura e que não poderia ser usada em um serviço legítimo, uma mensagem de que a credencial está errada é exibida, dando mais credibilidade ao ataque.
O resultado, claro, é o comprometimento de sistemas internos por meio das credenciais roubadas de funcionários, bem como possíveis invasões a novas contas em redes sociais e outros serviços que, eventualmente, compartilhem os mesmos dados. A complexidade cada vez maior de golpes desse tipo chama a atenção, segundo os especialistas, e representa um desafio maior para softwares de segurança e filtros de spam.
Ainda assim, valem algumas dicas para evitar ser vítima. O ideal é utilizar senhas seguras e que não possam ser descobertas com facilidade; elas devem ser únicas para cada serviço, principalmente quando se relacionarem a plataformas corporativas. Vale a pena, também, ativar a autenticação em duas etapas nas contas mais importantes e confirmar a autenticidade de comunicações como a usada para aplicar os golpes antes de entregar qualquer dado.
A ocorrência de ataques dessa categoria já está sendo chamada de pandemia cibernética pelos especialistas de segurança, representando uma categoria de golpes perigosa e que mira no usuário, normalmente a ponta mais fraca da proteção digital corporativa. “O uso de serviços que utilizamos e nos quais confiamos torna muito mais difícil identificar um ataque de phishing e as bandeiras vermelhas tradicionais não nos ajudarão muito”, explicou Lotem Finkelsteen, diretor de inteligência de ameaças da Check Point, comentando outro golpe parecido revelado nesta semana.
Na campanha revelada pelos especialistas, a nuvem do Google está sendo usada como isca para roubar credenciais de sistemas internos, com foco em usuários corporativos, mas também comuns, com os hackers de olho em perfis do Office 365. O método é semelhante, mas neste caso, o e-mail leva a vítima a um relatório legítimo, que para ser acessado, exige login e envia os dados aos criminosos.
