Novo ataque contra o Microsoft 365 redireciona a sites que roubam dados de login
Por Felipe Gugelmin | Editado por Claudio Yuge | 31 de Agosto de 2021 às 21h40
A Microsoft divulgou na última semana um novo alerta de golpe que está mirando nos usuários dos serviços corporativos da suíte Microsoft 365. Segundo a empresa, uma nova campanha de phishing está usando uma variedade de links que redirecionam a uma página falsa de login, criada especificamente para roubar os dados de entrada dos usuários do serviço.
- Demo gratuita do Windows 365 foi suspensa pela Microsoft; entenda por quê
- E-mail criminoso usa imagem para tentar roubar credenciais do Office 365
- Veja as 10 ameaças virtuais mais comuns no Microsoft 365 e no Azure AD
De acordo com a Gigante de Redmond, as mensagens usadas pelos criminosos usam uma ferramenta chamada “Open Redirect”, usada popularmente por campanhas de marketing e e-mails que promovem ofertas. Ela traz uma vulnerabilidade que permite a uma aplicação web aceitar dados que não são confiáveis, levando o usuário a uma página diferente daquela que é indicada pelo link — com isso, nem mesmo colocar o ponteiro do mouse sobre ele ajuda a evitar o acesso a páginas com códigos maliciosos.
Embora já tenha sido usada em outros golpes no passado, a falha não é considerada uma brecha por empresas como o Google. No entanto, quem usa o navegador Chrome é alertado sobre a possibilidade de ser redirecionado ao clicar sobre os endereços presentes em sites e nas mensagens que chegam à caixa de entrada.
Segundo a Microsoft, o uso de redirecionamento faz com que muitos usuários tenham suas credenciais roubadas por acreditar que estavam acessando sites confiáveis. A companhia também alerta que os criminosos usam métodos do tipo como forma de desacelerar a resposta de ferramentas de segurança capazes de detectar links maliciosos.
Golpe desafia proteções tradicionais
Até o momento já foram encontrados 350 domínios únicos de phishing usados pela campanha, em uma lista que inclui domínios comprometidos, páginas gratuitas e domínios gerados com o auxílio de algoritmos. As mensagens de e-mail usadas pelos criminosos incluem alertas sobre reuniões no Zoom, notificações de spam do Microsoft 365 e avisos sobre senhas que estão espirando e devem ser atualizadas — o elemento em comum é o fato de os alvos pertencerem essencialmente ao setor corporativo.
“Se o usuário inserir sua senha, a página será atualizada e exibirá uma mensagem de erro informando que o tempo limite expirou ou a senha estava incorreta e deve ser inserida novamente. Isso provavelmente é feito para que o usuário digite sua combinação duas vezes, permitindo que os invasores garantam que obtiveram a senha correta”, explica a Microsoft. Quando a segunda entrada é feita, a vítima é redirecionada a uma página da Sophos que informa que uma mensagem de e-mail foi enviada corretamente.
Segundo a empresa, usuários devem ficar alertas às características das páginas e aos endereços completos a que são redirecionados em busca de termos estranhos. A empresa argumenta que o novo ataque torna inútil o truque de colocar o ponteiro do mouse sobre um link, e que é indispensável o uso de softwares de proteção atualizados para evitar ser uma vítima do golpe.