theNet by CLOUDFLARE

Ataques de phishing que utilizam serviços legítimos

Os agentes maliciosos geralmente se fazem passar por marcas confiáveis em suas campanhas de phishing para dar credibilidade às suas mensagens. De fato, mais de 51% das tentativas de phishing se fizeram passar por uma das 20 maiores marcas globais. A pesquisa mais recente agora mostra como esses criminosos cibernéticos estão intensificando seu jogo. Não mais apenas falsificando marcas, mas aproveitando serviços legítimos dessas marcas para fornecer seu conteúdo malicioso.

O relatório sobre ameaças de Phishing de 2023 mostra esse aumento nos e-mails de phishing que utilizam serviços legítimos fornecidos por marcas como LinkedIn e Baidu para enviar links maliciosos. Agentes maliciosos usam esses serviços como redirecionamentos para seus sites maliciosos na tentativa de roubar credenciais do usuário. Isso além de utilizar serviços legítimos de entrega de e-mail, como o Sendgrid.

Embora a isca específica usada nessas campanhas possa variar, a maioria das tentativas de phishing se fazia passar pela DocuSign usando imagens como a abaixo, nesse caso específico, o invasor enviou um e-mail com a linha de assunto "Document shared for 552 Friday-August-2023 07:07 AM".

Figura 1: PNG usado no e-mail de falsificação de identidade da DocuSign

Como mostrado acima, o agente malicioso usou uma imagem PNG de uma solicitação aparentemente legítima da DocuSign que tinha um hiperlink para o popular mecanismo de pesquisa chinês, o Baidu:

hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com

que redireciona para: hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281

O remetente usou um domínio legítimo da empresa; @ciptaprimayoga.com, que parece ser uma empresa da Indonésia de baterias, que provavelmente foi comprometida. O uso de um domínio legítimo permite que o invasor contorne as medidas de segurança que analisam a idade do domínio, ou seja, a data de criação como parte do processo de mitigação.


Quando o link é clicado, a empresa do destinatário, por meio do caminho do URL, é automaticamente representada em uma página de login personalizada da Microsoft.

Como parte de nossa pesquisa, clicamos no link malicioso e uma página de login personalizada da Cloudflare carregou dinamicamente o logotipo da empresa e a imagem de fundo da famosa parede de lâmpadas de lava da Cloudflare.

Figura 2: phishing de credencial da Microsoft falsificado usando a marca da Cloudflare

Depois de inserir as credenciais, que são coletadas pelo invasor, o site é redirecionado para o Office.com.


Outro serviço comumente usado e abusado para e-mails de phishing é o SendGrid, conforme mostrado na imagem abaixo, em que essa empresa de marketing por e-mail está sendo usada para enviar golpes telefônicos do PayPal. O uso do SendGrid permite que os agentes maliciosos contornem os métodos tradicionais de segurança de e-mail, como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC), e dêem credibilidade às suas campanhas.

Figura 3: Golpe telefônico do PayPal enviado usando o SendGrid

Esse e outros golpes semelhantes tentam fazer com que os usuários liguem para o número de telefone listado, que é encaminhado para uma central de atendimento onde agentes maliciosos estão esperando para convencer as vítimas a instalar malware e roubar informações bancárias pelo telefone.

89% das autenticações de e-mail não impedem as ameaças. Com as táticas de phishing aumentando cada vez mais e chegando às caixas de entrada dos usuários, é mais importante do que nunca reforçar a resiliência cibernética na cultura da empresa e proteger sua organização contra ameaças baseadas em e-mail.

O Cloudflare Email Security usa aprendizado de máquina avançado e Inteligência Artificial para descobrir novas táticas que os agentes maliciosos estão usando para contornar a segurança tradicional e os provedores de e-mail em nuvem em tempo real. Solicite uma avaliação de risco de phishing gratuita para ver quais ataques de phishing seus sistemas atuais de segurança de e-mail podem estar deixando passar.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.


Saiba mais sobre esse assunto

Obtenha o relatório sobre ameaças de Phishing de 2023 para ver os resultados completos sobre tendências recentes e recomendações para evitar ataques bem-sucedidos.

Autoria

Maaz Qureshi
gerente de resposta a ameaças, Cloudflare



Principais conclusões

Após ler este artigo, você entenderá:

  • Serviços legítimos estão sendo usados para enviar conteúdo malicioso

  • 89% das autenticações de e-mail não impedem as ameaças

  • Como a segurança preventiva de e-mail descobre novas táticas que contornam a segurança tradicional



Outros artigos desta série


Receba um resumo mensal das informações mais populares da internet.