Páginas do próprio Google são usadas para esconder golpes por e-mail

Cibercriminosos estão usando um sistema de páginas do próprio Google, focado para acelerar o carregamento de sites em smartphones, para esconder links fraudulentos utilizados em golpes por e-mail. O redirecionamento dos usuários, principalmente corporativos, acontece a partir da tecnologia AMP (Accelerated Mobile Pages) e tenta burlar a detecção por ferramentas de segurança.

• Como se proteger contra golpes nos anúncios do Google
• Por que ainda tem vírus na Play Store? Conversamos com o Google para entender

O alerta é da empresa de segurança digital Cofense, que detectou um aumento repentino nos golpes utilizando esse método ao longo do mês de julho. O principal foco, como normalmente acontece, está nos utilizadores do Office 365, com supostos documentos compartilhados por e-mail levando as possíveis vítimas a páginas falsas de login, onde as credenciais são furtadas.

Como os sites com o recurso AMP, usado pelo próprio Google e dezenas de parceiros de conteúdo ao redor do mundo, estão hospedados nos servidores da própria gigante, há maior chance de que elas não sejam detectadas. Os golpes, em si, acontecem fora dos domínios da companhia, com apenas o redirecionamento acontecendo a partir de páginas de redirecionamento.

De acordo com a Cofense, os bandidos utilizam outras táticas de furtividade para garantir que as fraudes não sejam detectadas. Em vez de enviarem links diretamente no corpo do e-mail, o aviso sobre o suposto arquivo compartilhado vem em uma imagem única, que esconde o caminho para o site perigoso. Após o clique, há ainda uma verificação CAPTCHA, que tenta, mais uma vez, burlar sistemas de verificação de sites acessados.

Outros redirecionamentos também podem acontecer a partir dos e-mails verificados pelos especialistas em segurança, incluindo alguns a partir dos domínios da Microsoft. Seja como for, o objetivo é manter a furtividade a partir de diferentes URLs legítimas, de forma que o usuário não desconfie e a identificação por ferramentas de proteção seja burlada.

As campanhas envolvendo páginas fraudulentas redirecionadas a partir de AMPs do Google não são novidade, mas chamaram a atenção da Cofense depois de um pico registrado na segunda semana de julho. O total de detecções, no período, representou quase o dobro do maior volume já registrado, ao final de maio deste ano, mostrando que essa pode ser uma alternativa interessante para a realização de ataques de phishing no ambiente corporativo.

Ainda de acordo com os dados da empresa de segurança, 77% das páginas de redirecionamento fraudulentas estavam hospedadas no domínio oficial do Google, enquanto as 23% restantes estavam em um endereço britânico também pertencente à companhia. A URL usada, entretanto, é sempre a mesma, relacionada às páginas mobile, com o site fraudulento aparecendo somente no final.

Sendo assim, fica reforçada a orientação de prestar atenção nas páginas acessadas e evitar clicar em links que cheguem por e-mail, principalmente quando prometerem dar acesso a arquivos anexados. Credenciais não devem ser preenchidas fora de sites oficiais dos serviços que se pretende acessar, enquanto o uso de autenticação em duas etapas ajuda a manter a proteção das contas mesmo que as credenciais caiam em mãos erradas.

Fonte: Cofense