Campanha de phishing usa recurso do Google Cloud para roubar dados de empresas

Uma nova campanha de phishing está usando o Google Cloud para roubar logins em organizações empresariais ao redor do mundo. A onda de ataques foi identificada por pesquisadores da Check Point e já atingiu mais de 3 mil companhias.

• Hackers exploram falha na autenticação de dois fatores da Fortinet há 5 anos
• Hackers transformam robôs em máquinas violentas em teste de segurança

O golpe consiste no uso de domínios oficiais para coletar credenciais de usuários a partir de sistemas automatizados do Google. Além disso, os especialistas detectaram que os criminosos enviam milhares de e-mails maliciosos mirando empresas, sendo que todos parecem ser extremamente legítimos.

Como a campanha opera

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo análise da Check Point, a campanha usa uma ferramenta chamada Google Cloud Application Integration, plataforma que ajuda empresas a automatizar processos de negociação, otimizando o fluxo de trabalho com o envio de alertas automáticos, por exemplo.

O problema é que os criminosos encontraram uma maneira de contornar os sistemas de segurança do recurso para enviar e-mails diretamente de um endereço real do Google, camuflando-se por trás da legitimidade da empresa e da confiança despertada nos usuários para aplicar um golpe.

Considerando que o e-mail malicioso chega de um domínio verdadeiro do Google, os filtros de segurança na plataforma não são acionados e faz com que um funcionário desavisado clique em um link fraudulento. Na maioria dos casos, parecem notificações comuns e inofensivas, como um pedido para visualizar um documento ou a chegada de uma mensagem de voz.

Uma vez que o usuário clica no botão indicado, ele é direcionado para uma página legítima do Google Cloud. Chegando ali, a vítima é levada para uma outra página que exibe um CAPTCHA falso, parando, por fim, em uma aba que finge ser um login falso da Microsoft.

É justamente nessa parte final que o usuário é induzido a inserir suas credenciais, fazendo com que os criminosos registrem a senha no momento da digitação.

Campanha global

Os materiais coletados pela Check Point ainda apontam para uma preocupação global, já que os alvos estão espalhados ao redor do mundo. Embora grande parte (48,6%) das vítimas estejam nos Estados Unidos, foram identificados casos em países da região Ásia-Pacífico (20,7%), Europa (19,8) e América Latina, sendo que as maiores ocorrências estão no Brasil (41%) e no México (26%).

Outro dado da pesquisa alerta para uma maior concentração de ataques nos setores de manufatura e tecnologia, com 19,6% e 18,9% respectivamente. O setor financeiro e bancário também sofreu nas mãos da campanha, registrando 14,8% dos casos.

Em resposta, o Google garantiu que a operação foi bloqueada, afirmando que a atividade maliciosa resultou no “uso indevido de uma ferramenta de automação do fluxo de trabalho, e não de uma violação da infraestrutura do Google”.

Leia também:

• Falha crítica no MongoDB, MongoBleed, foi usada em hacking à Ubisoft
• Golpe do “processo judicial” engana usuários de Android para espalhar malware
• Com 56 mil downloads, pacote falso de API sequestra contas do WhatsApp

Fonte: Hack Read