Novo golpe se espalha por convites falsos do Calendly; veja como se proteger
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Uma pesquisa da empresa de cibersegurança Push Security descobriu uma nova campanha de phishing que se aproveita da reputação de marcas famosas, como Disney, LVMG, MasterCard, Uber e Unilever, bem como iscas do gerenciador de calendário Calendly, para roubar contas do Google Workspace e corporativas do Facebook.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
A novidade da iniciativa é o direcionamento para alvos específicos (golpe tipo watering hole) e chamadas profissionais, confeccionadas com uso de inteligência artificial. Com o golpe, criminosos passam a ter uma plataforma para lançamento de malvertising, distribuindo malwares e outras fraudes, também revendendo contas comprometidas a outros hackers.
Calendly, spoofing e phishing
Tudo começa com os cibercriminosos se passando por recrutadores de marcas conhecidas, criando um convite para uma falsa reunião. São usados nomes de funcionários legítimos, personificados via spoofing. Os e-mails de phishing são criados com IA e imitam mais de 75 marcas, da LEGO à Uber.
O link falso, após clicado, envia a vítima a uma falsa página do Calendly que usa CAPTCHA, e então por uma página de phishing adversary-in-the-middle (AiTM) que tenta roubar sessões de login do Google Workspace. A campanha mira, especificamente, em contas de gestores de anúncios Google MCC (My Client Center), segundo levantamento da Push Security.
Foram identificadas 31 URLs participando da campanha maliciosa, com algumas variantes também à solta na internet. Uma delas fazia spoofing da Disney, LEGO e Unilever e mirava em contas do Facebook Business. Outra buscava roubar gerentes de anúncios de ambas as marcas com ataques browser-in-the-browser (BiTB), que exibe janelas pop-up falsas com URLs que parecem verdadeiras.
Por fim, as páginas ainda possuem mecanismos antianálise, como bloqueadores de VPN e de proxy, que ainda impedem o usuário de abrir ferramentas de programador. Uma campanha de malvertising relacionada ao esforço visava invadir contas do Google Ads quando a vítima pesquisava pela ferramenta na busca. Com AiTM, é possível contornar autenticação por dois fatores, deixando o ataque especialmente perigoso.
Veja mais:
- Como acontecem os golpes com reconhecimento facial e como empresas se protegem
- Adolescente diz ser líder de famoso grupo de hackers; cibercriminosos negam
- O que é um ataque DDoS? Entenda técnica usada contra deputados do PL Antiaborto
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Fonte: Push Security