Hackers estão usando serviços legítimos em golpes para roubar credenciais

Os golpes que visam o roubo de credenciais corporativas estão se tornando cada vez mais sofisticados, como mostra um alerta divulgado pela Armorblox. A empresa especializada em segurança relata um ataque contra empresas dos EUA que acontece em várias etapas e envolve o comprometimento de e-mails legítimos, o uso de serviços de hospedagem para evadir detecções automáticas e a utilização de marcas legítimas para aumentar a aparência de legitimidade da campanha, que tem como objetivo a obtenção de credenciais corporativas e do Office 365.

• 93% das empresas podem ser invadidas por hackers em apenas 30 minutos
• Mais vítimas de ransomware estão pagando para resgatar seus dados
• 5 coisas que você não deve fazer no computador do trabalho

Em sua essência, o golpe é semelhante a outros já relatados, com a combinação de fatores chamando a atenção dos especialistas. A isca é um e-mail supostamente enviado por um parceiro comercial ou interessado em fazer negócios, com contratos ou documentos que precisam ser revisados pelo funcionário da empresa que é alvo dos ataques. Ao clicar no link disponível na mensagem, a vítima em potencial é levada a uma página onde deve inserir seu login e senha do serviço da Microsoft, que é enviado a servidores sob o controle dos hackers.

O que diferencia esta campanha é o fato de, no caso analisado pela Armorblox, o e-mail fraudulento ter chegado a partir de um domínio legítimo, aqui, uma empresa de financiamento imobiliário e hipoteca, com foco também em fazendeiros. É o primeiro passo para que a mensagem seja encarada como uma proposta legítima de negócios, seguido pelo fato que o suposto documento está hospedado na plataforma de cloud computing Box.

Em ambos os casos, não são domínios que serão bloqueados por sistemas automatizados de proteção, tornando a desconfiança do usuário o único caminho para que ele não seja vítima. Antes de acessar o arquivo, vem o golpe, na forma de uma tela de login com marca e aparência copiada do OneDrive, o serviço de cloud computing da Microsoft, onde as credenciais do Office 365 ou de sistemas corporativos internos devem ser inseridas.

O alerta da Armorblox chega para demonstrar que, mesmo com uma complexidade desse nível, é possível prestar atenção em elementos que flagrem uma tentativa de golpe. No caso desta campanha, por exemplo, a linguagem não foi considerada a mais adequada para um e-mail de proposta de negócios, com uso de termos informais e a tentativa de passar uma sensação de que aquela era uma negociação em andamento.

Os especialistas chamam atenção, também, para uma falsa sensação de urgência criada, que normalmente não existe em tratativas desse tipo, pela necessidade de revisão rápida dos documentos — outra isca para fazer com que a vítima não pense muito e acabe caindo. O alerta também chama a atenção para o fato de a mensagem citar um serviço de hospedagem, mas o link redirecionar o usuário a outro, mais um indício de que algo de estranho está acontecendo.

Além disso, dicas valiosas envolvem o uso de senhas complexas e individuais, principalmente quando elas forem usadas em sistemas corporativos. Para as corporações, vale a pena investir no uso de sistemas de autenticação em duas etapas de forma que mesmo um vazamento de credenciais não gere intrusões aos sistemas internos e o vazamento de dados de funcionários e clientes.

Fonte: Armorblox