Golpe usa redirecionamento para roubar senhas de Apple, Microsoft e outros

Uma nova campanha de ataques usa uma combinação de mensagens de phishing e proxies para roubar dados de usuários das plataformas de grandes empresas como Apple, Google e Microsoft, além de redes sociais como Twitter, LinkedIn e Facebook, sistemas de hospedagem ou de desenvolvimento de apps. Os golpes, inclusive, são vendidos como serviço em mercados cibercriminosos, estando disponíveis até mesmo para bandidos com pouco conhecimento técnico.

• Criminosos se inspiram no e-commerce e usam dark web para se profissionalizar
• Quatro métodos usados por vírus para escapar de softwares de segurança

A plataforma EvilProxy foi descoberta pela empresa de segurança digital Resecurity e realiza ataques efetivos por colocar uma espécie de intermediário entre o usuário e o serviço legítimo. A partir de um link malicioso, a vítima acessa a plataforma real através de um proxy reverso, que intercepta os dados enviados por ela e também pelo próprio site, coletando as informações enquanto o uso acontece normalmente, sem que o atingido perceba.

Com isso, os criminosos são capazes de obter não apenas combinações de login e senha, mas também códigos de autenticação em duas etapas e cookies de sessão. Esse último dado acaba sendo o mais importante, permitindo o acesso aos sistemas fechados sem a necessidade de uma nova verificação uma vez que o sistema é enganado a entender que se trata de um usuário legítimo.

Enquanto isso, por trás das cortinas, os responsáveis pelo EvilProxy oferecem uma plataforma completa de phishing como serviço, com direito a intrerfaces gráficas que facilitam o uso e até ataques prontos para serem utilizados, com base nos principais sistemas do mercado. Até mesmo tutoriais e vídeos informativos estão disponíveis, com os criminosos facilitando ao máximo a realização de golpes por qualquer um que estiver disposto a pagar.

Os valores vão de US$ 150, ou cerca de R$ 770 em conversão direta, por uma campanha com 10 dias de duração, até US$ 400 (aproximadamente R$ 2.100) por ataques que duram um mês inteiro. Apenas os serviços do Google custam mais, saindo a partir de US$ 250 até US$ 600, ou seja, cerca de R$ 1.295 a R$ 3.110 de acordo com o tempo de atividade.

Segundo a Resecurity, os criminosos responsáveis pelo EvilProxy também fazem uma triagem de potenciais clientes, que são contatados pelo Telegram, por onde também acontece o pagamento. Após a transferência de valores, é dado o acesso à plataforma de realização de golpes, hospedada na rede Tor e com direito até a garantias de proteção contra sistemas de detecção de acesso não-autorizado, mecanismos anti-proxy e outros recursos que garantem o sucesso das campanhas.

A empresa de segurança recomenda o uso de identificação TLS como, possivelmente, o único mecanismo de defesa de ataques usando proxies reversos. Com a tecnologia, sistemas são capazes de detectar acessos legítimos a partir de informações dos dispositivos e sistemas operacionais, filtrando ataques de man-in-the-middle e burlando as medidas de interceptação dos criminosos.

Fonte: Resecurity