Microsoft consegue eliminar golpes de fraude que usavam o nome do Office 365

Um golpe deveras engenhoso que envolvia o Office 365, a suíte de aplicações de escritório da Microsoft, foi derrubado pela empresa em uma ação judicial que lhe conferiu propriedade sobre diversos domínios falsos usados pelos criminosos por trás do esquema.

Os ataques tiveram duas versões distintas, mas ambas tinham como alvos CEOs, diretores e presidentes de diversas empresas. Inicialmente, os hackers convenciam os executivos a se logarem com suas credenciais do Office 365 em sites forjados, cujo design se assemelhava à página oficial da Microsoft, o que resultava no roubo e subsequente divulgação das informações de login. Por meio de sua equipe de segurança, a empresa conseguiu desativar esse esquema.

Eis que os golpistas desenvolveram um segundo método para continuar as ações: ao invés de convencerem executivos a lhes fornecerem os dados diretamente, eles criaram um falso app que se assemelhava, em identidade visual, aos da Microsoft, usando temas recorrentes da mídia como chamariz, como por exemplo a pandemia da COVID-19.

“Esse esquema permitia o acesso não-autorizado sem que fosse explicitamente necessário que a vítima oferecesse suas credenciais em sites falsos ou interfaces similares, tal qual um ataque de phishing mais tradicional”, explicou Tom Burt, vice-presidente de Segurança e Confiabilidade do Consumidor na Microsoft. “Após clicar no pop-up de permissão de acesso para o app malicioso, a vítima, sem saber, concedia aos criminosos permissão para acessar e controlar suas contas do Office 365, o que inclui e-mails, contatos, notas e arquivos gravados no OneDrive e documentos de gestão compartilhados via SharePoint”.

A modalidade de ataque é conhecida nos Estados Unidos como “BEC Scam”, cuja sigla traduzida para o português Br significa “Invasão de E-mails de Negócio” (Business E-mail Compromise). Segundo um relatório de 2019 publicado pelo FBI, esse tipo de ataque phishing traz a diversas empresas um prejuízo médio de US$ 1,7 bilhão ao ano (R$ 9,06 bilhões na cotação de hoje). Em versões mais avançadas desse golpe, vítimas informaram que os e-mails problemáticos eram muito parecidos com aqueles recebidos de gerentes ou de pessoas que trabalham dentro da própria empresa.

Uma situação bem parecida foi o que ocorreu no caso da Microsoft: os e-mails recebidos pelas vítimas traziam termos relevantes ao interesse de altos executivos, como “Relatório de Faturamento do Terceiro Trimestre” e outros assuntos do gênero. Neste caso, a Microsoft conseguiu, via intervenção judicial, adquirir a propriedade de seis domínios maliciosos de internet usado pelos hackers, efetivamente tirando deles a sua principal ferramenta. Os ataques, segundo a Microsoft, teriam começado em dezembro de 2019 e foram direcionados a diversas empresas localizadas em 62 países.

Fonte: Microsoft (blog oficial); Internet Crime Report