Tipos de mensagens de phishing que podem enganar seu e-mail

Dificilmente existe qualquer forma de cibercrime que se equipare ao phishing em termos de prevalência e impacto global. Ele está na frente e no centro de campanhas maliciosas destinadas a obter dados de autenticação de usuários, enganar organizações de dinheiro ou espalhar vírus de computador por meio de e-mails traiçoeiros.

As recentes descobertas dos analistas de segurança mostram o quadro geral. Mais de 165.772 novos sites de phishing foram detectados no primeiro trimestre de 2020. O FBI diz que o comprometimento de e-mail comercial (BEC) é um tipo crescente de phishing com foco na empresa. Isso faz com que as empresas percam cerca de US$ 5 bilhões em transferências eletrônicas fraudulentas anualmente.

Os cibercriminosos estão aumentando seu gênero

Essas estatísticas impressionantes demonstram a amplitude e a profundidade do flagelo. Sem surpresa, várias empresas de segurança e provedores de e-mail estão fornecendo soluções que impedem que mensagens fraudulentas acabem nas caixas de entrada dos usuários. As defesas cada vez mais eficazes incentivam os operadores de campanhas de phishing a planejar novos métodos para burlar os filtros tradicionais.

Ignorar os filtros de e-mail tornou-se tão importante para os bandidos quanto personalizar as mensagens desonestas cuja narrativa puxa as cordas certas na consciência dos destinatários. As técnicas a seguir aprimoraram recentemente o repertório dos operadores de phishing para que seus e-mails não levantem bandeiras vermelhas e cheguem ao seu destino apesar das contramedidas convencionais.

Recomendado para você: Qual é o Papel da Inteligência Artificial (IA) na Cibersegurança?

Credenciais do Office 365 coletadas por meio do Google Cloud Services

Os cibercriminosos estão hospedando cada vez mais arquivos falsos e páginas de phishing em serviços de nuvem populares. Essa tática adiciona uma camada extra de confiabilidade e ofuscação a um golpe, tornando extremamente desafiador para usuários preocupados com segurança e sistemas de proteção detectá-lo.

Uma campanha recentemente descoberta por pesquisadores da empresa de segurança cibernética Check Point demonstra como esse tipo de fraude pode ser evasivo. Seu elemento de atração é um documento PDF carregado no Google Drive. Este arquivo compartilhado supostamente contém informações comerciais importantes. Para visualizá-lo, porém, a vítima deve clicar no botão “Acessar Documento”, que leva a uma página de entrada solicitando detalhes de autenticação do Office 365 ou um ID da organização. Independentemente da opção selecionada, uma tela pop-up é exibida solicitando as informações de login do Outlook do usuário.

Assim que o endereço de e-mail e a senha são inseridos, a vítima pode finalmente visualizar o arquivo PDF. É um relatório de marketing legítimo emitido por uma conhecida empresa de consultoria em 2020. Além disso, as páginas que aparecem em diferentes fases desse ataque estão hospedadas no Google Cloud Storage, portanto, quase não há pistas sugerindo que algo claramente perverso está acontecendo .

Enquanto isso, uma séria armadilha eclipsada pela ostensiva legitimidade desse estratagema é que os bandidos obtêm as credenciais válidas do Office 365 da vítima ao longo do caminho. Quando nas mãos erradas, essas informações podem se tornar uma plataforma de lançamento para golpes BEC eficazes, espionagem industrial e propagação de malware.

E-mails enganosos que fingem vir de bancos confiáveis

Em um movimento recente, os golpistas estão gerando mensagens falsas que se passam por instituições financeiras populares, como o Citigroup ou o Bank of America. O e-mail instrui o usuário a atualizar os detalhes do endereço de e-mail clicando em um hiperlink que leva a uma réplica do site do banco. Para tornar o embuste verdadeiro, os criminosos usam uma página adicional solicitando a pergunta de desafio de segurança do destinatário.

Uma das inconsistências adversas é que o e-mail fica abaixo do radar da maioria dos filtros, embora seja enviado de um endereço @yahoo.com. A razão é que os malfeitores visam apenas alguns funcionários em uma empresa. Como as soluções anti-phishing comuns são ajustadas para um grande número de mensagens semelhantes ou idênticas, elas podem ignorar vários e-mails suspeitos.

Outro problema é que a mensagem se origina de uma conta de e-mail pessoal. Esse fato dificulta a detecção porque as ferramentas de verificação convencionais, como o Domain-based Message Authentication, Reporting & Conformance (DMARC), bem como o Sender Policy Framework (SPF), identificam apenas emails que falsificam o domínio de origem.

Para completar, a página de phishing de credenciais que imita o site oficial do banco passa por todas as verificações com louvor. Isso porque foi registrado recentemente e, portanto, ainda não foi colocado na lista negra. Ele também usa um certificado SSL válido. O link de phishing redireciona os usuários usando um serviço de pesquisa legítimo do Yahoo. Todas essas peculiaridades, combinadas com um pouco de pressão imposta no texto, aumentam o índice de sucesso desta campanha.

Descompacte um anexo e seja infectado

Alguns agentes de ameaças ocultam um anexo prejudicial em um arquivo não autorizado para impedir a detecção. Normalmente, um arquivo ZIP vem com um parâmetro “End of Central Directory” (EOCD). Ele aponta para o elemento final da estrutura do arquivo. O que os cibercriminosos fazem é usar um objeto ZIP com um valor EOCD extra dentro. Isso significa que o arquivo inclui uma árvore de arquivamento ofuscada.

Quando processado por ferramentas de descompactação que constituem Secure Email Gateways (SEGs), o anexo ZIP parece benigno porque seu componente “arrebite vermelho” é normalmente o único que é examinado. Após esse truque, o arquivo extraído executa furtivamente um Trojan bancário na máquina do destinatário.

Perdido na tradução

Outro estratagema comum é enganar os filtros de e-mail incorporando texto em um idioma estrangeiro. Algumas defesas são configuradas para verificar as mensagens recebidas em busca de materiais duvidosos em inglês ou apenas no idioma nativo do usuário.

Com isso em mente, os criminosos podem criar e-mails de phishing em russo e incluir uma dica dizendo: "Use o tradutor do Google". Como resultado, a mensagem chega à caixa de entrada e a vítima pode ficar presa depois de ler o texto traduzido.

Você pode gostar: 17 dicas legais para escrever uma política de segurança cibernética que não é ruim.

Modificando o código HTML de um e-mail

Mais uma maneira de uma mensagem de phishing escapar dos sistemas de proteção é reverter as sequências de texto em seu código HTML e, em seguida, renderizar as informações para que pareçam perfeitamente normais para o destinatário. Como o conteúdo do código-fonte deturpado não se sobrepõe a nenhum modelo de phishing conhecido, os SEGs provavelmente ignorarão a mensagem.

Uma imitação altamente insidiosa dessa técnica gira em torno do Cascading Style Sheets (CSS), um instrumento usado para complementar documentos da Web com componentes de estilo, como tamanho e cor da fonte, cor de fundo e espaçamento. O jogo sujo se resume ao manuseio incorreto do CSS para mesclar scripts latinos e árabes no código HTML bruto. Esses scripts fluem em direções opostas, tornando mais fácil para os criminosos obterem o efeito de reversão de texto mencionado acima. Como resultado, a mensagem engana as defesas enquanto permanece legível por humanos.

Abusando de contas invadidas do SharePoint

Algumas gangues de phishing capitalizam em contas comprometidas do SharePoint para colocar seus golpes em movimento. A lógica maligna depende do fato de que os SEGs confiam em domínios associados à respeitável plataforma colaborativa da Microsoft. O link no corpo do email leva a um site do SharePoint. Portanto, os sistemas de segurança o tratam como benigno e ignoram a mensagem.

O problema é que os criminosos redirecionam a página de destino para exibir um documento desonesto do OneNote. Isso, por sua vez, redireciona para uma página de phishing de credencial camuflada como formulário de login do OneDrive for Business. Os detalhes de autenticação que o usuário desavisado insere nele são enviados instantaneamente para o servidor dos bandidos.

Dê um impulso ao seu reconhecimento de phishing para se manter seguro

Os filtros de e-mail valem, sem dúvida, o seu sal. Eles eliminam a maior parte das mensagens incompletas lançadas em sua caixa de entrada. No entanto, a lição que você deve aprender com os ataques do mundo real descritos acima é que confiar incondicionalmente nesses sistemas é um negócio arriscado.

“Você deve fazer sua lição de casa e seguir algumas dicas extras para melhorar sua higiene pessoal anti-phishing.” – em uma entrevista recente, conforme mencionado por Andrew Gitt, especialista sênior em tecnologia, cofundador e chefe de pesquisa da VPNBrains.

Andrew também fornece as seguintes recomendações em sua entrevista:

• Evite clicar em links que chegam em e-mails.
• Não abra anexos recebidos de estranhos.
• Antes de digitar seu nome de usuário e senha em uma página de login, verifique se é HTTPS versus HTTP.
• Se um e-mail parecer legítimo e você decidir correr o risco de clicar em um link incorporado, verifique primeiro a URL quanto a erros de digitação e outros brindes.
• Leia os e-mails recebidos com atenção e verifique se há erros de ortografia, gramática e pontuação no texto. Se você notar esses erros, a mensagem provavelmente é uma farsa.
• Ignore e descarte e-mails que o pressionam a fazer algo. Por exemplo, os phishers geralmente impõem algum tipo de prazo para fazer as pessoas escorregarem. Não caia em tais truques.
• Cuidado com e-mails cujo conteúdo se desvia da norma em relação às suas tarefas diárias de trabalho.
• Se você receber uma mensagem de um gerente sênior solicitando uma transferência eletrônica, verifique novamente entrando em contato com a pessoa por telefone ou pessoalmente. As chances são de que você esteja lidando com um impostor que assumiu a conta de e-mail do colega.
• Cuidado com as informações que você compartilha nas redes sociais. Atores mal-intencionados são adeptos da realização de inteligência de código aberto (OSINT), para que possam usar seus dados pessoais publicamente disponíveis contra você.
• Se você for um executivo, certifique-se de configurar um programa de treinamento de conscientização de phishing para seus funcionários.
• Habilite um firewall e instale um software de segurança online eficaz com um recurso anti-phishing integrado.

Você também pode gostar: Como proteger seu PC contra ataques cibernéticos, rastreamento e malware?

Palavras finais

Sempre que os chapéus brancos criam um novo mecanismo de prevenção, os cibercriminosos fazem o possível para enganá-los. Uma tendência de segurança emergente e muito promissora nesse sentido é empregar inteligência artificial e aprendizado de máquina para identificar tentativas de phishing. Esperamos que essa abordagem mantenha as defesas um passo à frente dos vetores de ataque, não importa o quão sofisticados sejam.

Por enquanto, a melhor coisa que você pode fazer é ficar atento e aproveitar ao máximo as ferramentas anti-phishing tradicionais que fazem maravilhas na maioria dos casos.