Cibercriminosos usam domínio legítimo para roubar dados e dinheiro de usuários

Cibercriminosos vêm utilizando o QuickBooks, plataforma de softwares para pequenos e médios negócios, para roubar dados e credenciais de usuários. Segundo a empresa de segurança de colaboração e em-mail em nuvam Avanan, adquirida pela Check Point Software Technologies, os bandidos vêm explorando uma campanha de phishing que começou em agosto de 2021.

• O que é Phishing?
• Como identificar se um site é uma tentativa de phishing?

De acordo com análises realizadas em maio deste ano pelos pesquisadores da Avanan, os cibercriminosos usam o domínio QuickBooks[.]intuit[.]com para se passar por endereço legítimo e enviar e-mails com faturas maliciosas e pagamentos fraudulentos. Eles enviam uma mensagem, aparentemente do Quickbooks, a partir de uma conta gratuita, e chegam até mesmo a falsificar o corpo do texto para imitar marcas como Norton e Office 365 — tudo para passar a falsa impressão de que o envio é autêntico.

A tática usada por esses criminosos é denominada The Static Expressway, em que páginas web listadas em “Listas de Permissão Estática” são exploradas por conteúdos maliciosos, que, assim, conseguem se passar por um serviço legítimo na caixa de entrada dos e-mails. Após a criação de uma conta QuickBooks, os bandidos, então, enviam faturas e pedidos de pagamentos fraudulentos.

Exemplo mostra campanha de phishing usando o QuickBooks

Para exemplificar como funciona, os pesquisadores mostram a ação dos cibercriminosos no que parece ser uma fatura da empresa Norton, a partir de um e-mail vindo do domínio do QuickBooks. Eles enviam a conta e sugerem à vítima a ligar no caso de dúvidas. Ao ligar para o número listado, os bandidos solicitam dados de cartão de crédito, com um suposto cancelamento de transação — vale destacar que nem o número de telefone ou o endereço não correspondem com as informações reais.

Esse tipo de atividade, que usa engenharia social e técnicas que exploram domínios legítimos, têm intensificado nos últimos anos, principalmente após grandes vazamentos. Isso porque os cibercriminosos podem obter facilmente, via dark web, “pacotes” de informações de usuários de diversas contas e serviços. Assim, eles usam conteúdo que deveria ser confidencial, juntamente com uma plataforma conhecida, para ganhar a confiança das vítimas — e, assim, aproveitar-se da distração para roubar dinheiro, neste caso, a partir do pagamento da fatura.

Vale destacar que esse tipo de ataque já foi identificado pela Microsoft, Google, Walgreens, DHL, Adobe e outras que se encontram nas “Listas de Permissões Estáticas” — e que, assim, conseguem furar a varredura de proteção da caixa de entrada de serviços de e-mail.

E o pior: essa técnica acaba se tornando um “duplo ataque”, já que, mesmo recebendo dinheiro da vítima, os cibercriminosos continuam com um número de telefone confirmado e válido para realizar novas investidas — por exemplo, por WhatsApp.

Como se proteger de campanhas de phishing como essa que explora o QuickBooks

Os especialistas da Avanan e QuickBooks recomendam algumas ações para evitar que os usuários caiam em golpes como este:

• Antes de ligar para um serviço desconhecido, faça uma pesquisa do número em um mecanismo de busca e verifique as contas para ver se existe de fato uma taxa;
• Implemente soluções de segurança avançadas que analisem mais do que um indicador para determinar se um e-mail é confiável ou não;
• Contate o departamento de TI de sua empresa caso tenha dúvidas em relação à legitimidade de um e-mail.