Ataques de phishing que utilizam serviços legítimos
Os agentes maliciosos geralmente se fazem passar por marcas confiáveis em suas campanhas de phishing para dar credibilidade às suas mensagens. De fato, mais de 51% das tentativas de phishing se fizeram passar por uma das 20 maiores marcas globais. A pesquisa mais recente agora mostra como esses criminosos cibernéticos estão intensificando seu jogo. Não mais apenas falsificando marcas, mas aproveitando serviços legítimos dessas marcas para fornecer seu conteúdo malicioso.
O relatório sobre ameaças de Phishing de 2023 mostra esse aumento nos e-mails de phishing que utilizam serviços legítimos fornecidos por marcas como LinkedIn e Baidu para enviar links maliciosos. Agentes maliciosos usam esses serviços como redirecionamentos para seus sites maliciosos na tentativa de roubar credenciais do usuário. Isso além de utilizar serviços legítimos de entrega de e-mail, como o Sendgrid.
Embora a isca específica usada nessas campanhas possa variar, a maioria das tentativas de phishing se fazia passar pela DocuSign usando imagens como a abaixo, nesse caso específico, o invasor enviou um e-mail com a linha de assunto "Document shared for 552 Friday-August-2023 07:07 AM".
Figura 1: PNG usado no e-mail de falsificação de identidade da DocuSign
Como mostrado acima, o agente malicioso usou uma imagem PNG de uma solicitação aparentemente legítima da DocuSign que tinha um hiperlink para o popular mecanismo de pesquisa chinês, o Baidu:
hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com
que redireciona para: hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281
O remetente usou um domínio legítimo da empresa; @ciptaprimayoga.com, que parece ser uma empresa da Indonésia de baterias, que provavelmente foi comprometida. O uso de um domínio legítimo permite que o invasor contorne as medidas de segurança que analisam a idade do domínio, ou seja, a data de criação como parte do processo de mitigação.
Quando o link é clicado, a empresa do destinatário, por meio do caminho do URL, é automaticamente representada em uma página de login personalizada da Microsoft.
Como parte de nossa pesquisa, clicamos no link malicioso e uma página de login personalizada da Cloudflare carregou dinamicamente o logotipo da empresa e a imagem de fundo da famosa parede de lâmpadas de lava da Cloudflare.
Figura 2: phishing de credencial da Microsoft falsificado usando a marca da Cloudflare
Depois de inserir as credenciais, que são coletadas pelo invasor, o site é redirecionado para o Office.com.
Outro serviço comumente usado e abusado para e-mails de phishing é o SendGrid, conforme mostrado na imagem abaixo, em que essa empresa de marketing por e-mail está sendo usada para enviar golpes telefônicos do PayPal. O uso do SendGrid permite que os agentes maliciosos contornem os métodos tradicionais de segurança de e-mail, como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC), e dêem credibilidade às suas campanhas.
Figura 3: Golpe telefônico do PayPal enviado usando o SendGrid
Esse e outros golpes semelhantes tentam fazer com que os usuários liguem para o número de telefone listado, que é encaminhado para uma central de atendimento onde agentes maliciosos estão esperando para convencer as vítimas a instalar malware e roubar informações bancárias pelo telefone.
89% das autenticações de e-mail não impedem as ameaças. Com as táticas de phishing aumentando cada vez mais e chegando às caixas de entrada dos usuários, é mais importante do que nunca reforçar a resiliência cibernética na cultura da empresa e proteger sua organização contra ameaças baseadas em e-mail.
O Cloudflare Email Security usa aprendizado de máquina avançado e Inteligência Artificial para descobrir novas táticas que os agentes maliciosos estão usando para contornar a segurança tradicional e os provedores de e-mail em nuvem em tempo real. Solicite uma avaliação de risco de phishing gratuita para ver quais ataques de phishing seus sistemas atuais de segurança de e-mail podem estar deixando passar.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Obtenha o relatório sobre ameaças de Phishing de 2023 para ver os resultados completos sobre tendências recentes e recomendações para evitar ataques bem-sucedidos.
Autoria
Maaz Qureshi
gerente de resposta a ameaças, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Serviços legítimos estão sendo usados para enviar conteúdo malicioso
89% das autenticações de e-mail não impedem as ameaças
Como a segurança preventiva de e-mail descobre novas táticas que contornam a segurança tradicional