Tipos de mensagens de phishing que podem enganar seu e-mail

Dificilmente existe qualquer forma de cibercrime que se compare ao phishing em termos de prevalência e impacto global. Ele está na frente e no centro de campanhas maliciosas destinadas a obter dados de autenticação de usuários, roubar dinheiro de organizações ou espalhar vírus de computador por meio de e-mails traiçoeiros.

As recentes descobertas dos analistas de segurança mostram o quadro geral. Mais de 165.772 novos sites de phishing foram detectados no primeiro trimestre de 2020. O FBI diz que o comprometimento de e-mail comercial (BEC) é um tipo crescente de phishing com foco na empresa. Isso faz com que as empresas percam cerca de US$ 5 bilhões em transferências eletrônicas fraudulentas anualmente.

Os cibercriminosos estão aumentando seu gênero

Essas estatísticas impressionantes demonstram a amplitude e a profundidade do flagelo. Sem surpresa, várias empresas de segurança e provedores de e-mail estão oferecendo soluções que evitam que mensagens fraudulentas acabem nas caixas de entrada dos usuários. As defesas cada vez mais eficazes incentivam os operadores de campanhas de phishing a idealizar novos métodos para burlar os filtros tradicionais.

Ignorar os filtros de e-mail tornou-se tão importante para os criminosos quanto personalizar mensagens desonestas cuja narrativa mexe com as cordas certas na consciência dos destinatários. As técnicas a seguir aprimoraram recentemente o repertório de operadores de phishing para que seus e-mails não levantem bandeiras vermelhas e cheguem ao seu destino, apesar das contramedidas convencionais.

Recomendado para você: Qual é o papel da Inteligência Artificial (IA) na segurança cibernética?

Credenciais do Office 365 coletadas por meio do Google Cloud Services

Os cibercriminosos estão hospedando cada vez mais arquivos falsos e páginas de phishing em serviços de nuvem populares. Essa tática adiciona uma camada extra de confiabilidade e ofuscação a um golpe, tornando extremamente desafiador para usuários preocupados com a segurança e sistemas de proteção detectá-lo.

Uma campanha recentemente descoberta por pesquisadores da empresa de segurança cibernética Check Point demonstra como esse tipo de fraude pode ser evasivo. Seu elemento de atração é um documento PDF carregado no Google Drive. Este arquivo compartilhado contém informações comerciais importantes. Para visualizá-lo, porém, a vítima deve clicar no botão “Acessar documento”, que leva a uma página de login solicitando detalhes de autenticação do Office 365 ou um ID da organização. Independentemente da opção selecionada, uma tela pop-up aparece solicitando as informações de login do usuário no Outlook.

Assim que o endereço de e-mail e a senha são inseridos, a vítima pode finalmente visualizar o arquivo PDF. É um relatório de marketing legítimo emitido por uma conhecida empresa de consultoria em 2020. Além disso, as páginas que aparecem em diferentes fases desse ataque estão hospedadas no Google Cloud Storage, portanto, quase não há pistas sugerindo que algo claramente perverso está acontecendo. .

Enquanto isso, uma séria armadilha ofuscada pela ostensiva legitimidade desse estratagema é que os bandidos obtêm as credenciais válidas do Office 365 da vítima ao longo do caminho. Quando em mãos erradas, essas informações podem se tornar uma plataforma de lançamento para golpes BEC eficazes, espionagem industrial e propagação de malware.

E-mails enganosos fingindo vir de bancos confiáveis

Em um movimento recente, os golpistas estão espalhando mensagens falsas que se fazem passar por instituições financeiras populares, como o Citigroup ou o Bank of America. O e-mail instrui o usuário a atualizar seus detalhes de endereço de e-mail clicando em um hiperlink que leva a uma réplica do site do banco. Para fazer a farsa parecer real, os criminosos usam uma página adicional solicitando a pergunta do desafio de segurança do destinatário.

Uma das inconsistências adversas é que o e-mail passa despercebido pela maioria dos filtros, embora seja enviado de um endereço @yahoo.com. A razão é que os malfeitores visam apenas alguns funcionários de uma empresa. Como as soluções anti-phishing comuns são ajustadas para um grande número de mensagens semelhantes ou idênticas, elas podem ignorar vários e-mails suspeitos.

Outro problema é que a mensagem se origina de uma conta de e-mail pessoal. Esse fato dificulta a detecção porque as ferramentas de verificação convencionais, como Autenticação de mensagem baseada em domínio, Relatórios e conformidade (DMARC), bem como o Sender Policy Framework (SPF), identificam apenas e-mails que falsificam o domínio de origem.

Para completar, a página de phishing de credenciais que imita o site oficial do banco passa em todas as verificações com distinção. Isso porque foi registrado recentemente e, portanto, ainda não foi colocado na lista negra. Ele também usa um certificado SSL válido. O link de phishing redireciona os usuários usando um serviço de pesquisa legítimo do Yahoo. Todas essas peculiaridades, combinadas com um pouco de pressão imposta no texto, aumentam a taxa de sucesso desta campanha.

Descompacte um anexo e seja infectado

Alguns agentes de ameaças ocultam um anexo prejudicial em um arquivo não autorizado para impedir a detecção. Normalmente, um arquivo ZIP vem com um parâmetro “End of Central Directory” (EOCD). Aponta para o elemento final da estrutura do arquivo. O que os cibercriminosos fazem é usar um objeto ZIP com um valor EOCD extra dentro. Isso significa que o arquivo inclui uma árvore de arquivo ofuscada.

Quando processado por ferramentas de descompactação que constituem Secure Email Gateways (SEGs), o anexo ZIP parece benigno porque seu componente “red herring” é normalmente o único que é examinado. Após esse truque, o arquivo extraído executa furtivamente um Trojan bancário na máquina do destinatário.

Perdido na tradução

Outro estratagema comum é enganar filtros de e-mail incorporando texto em um idioma estrangeiro. Algumas defesas são configuradas para verificar as mensagens recebidas em busca de materiais duvidosos apenas em inglês ou no idioma nativo do usuário.

Com isso em mente, os criminosos podem criar e-mails de phishing em russo e incluir uma dica dizendo: “Use o tradutor do Google”. Como resultado, a mensagem chega à caixa de entrada e a vítima pode pegar o gancho depois de ler o texto traduzido.

Você pode gostar de: 17 dicas legais para escrever uma política de segurança cibernética que não seja ruim.

Modificando o código HTML de um e-mail

Mais uma maneira de uma mensagem de phishing escapar dos sistemas de proteção é inverter as sequências de texto em seu código HTML e, em seguida, renderizar as informações para que pareçam perfeitamente normais para o destinatário. Como o conteúdo do código-fonte deturpado não se sobrepõe a nenhum modelo de phishing conhecido, os SEGs provavelmente ignorarão a mensagem.

Uma imitação altamente insidiosa dessa técnica gira em torno do Cascading Style Sheets (CSS), um instrumento usado para complementar documentos da Web com componentes de estilo, como tamanho e cor da fonte, cor de fundo e espaçamento. O jogo sujo se resume ao manuseio incorreto do CSS para mesclar os scripts latino e árabe no código HTML bruto. Esses scripts fluem em direções opostas, tornando mais fácil para os bandidos alcançarem o efeito de reversão de texto mencionado acima. Como resultado, a mensagem engana as defesas enquanto permanece legível por humanos.

Abuso de contas hackeadas do SharePoint

Algumas gangues de phishing aproveitam contas comprometidas do SharePoint para colocar seus golpes em ação. A lógica do mal depende do fato de que os SEGs confiam em domínios associados à respeitável plataforma colaborativa da Microsoft. O link no corpo do e-mail leva a um site do SharePoint. Portanto, os sistemas de segurança o tratam como benigno e ignoram a mensagem.

O problema é que os criminosos redirecionam a página inicial para exibir um documento duvidoso do OneNote. Isso, por sua vez, redireciona para uma página de phishing de credenciais camuflada como formulário de login do OneDrive for Business. Os detalhes de autenticação que o usuário desavisado insere são enviados instantaneamente para o servidor dos bandidos.

Dê um impulso à sua consciência de phishing para se manter seguro

Os filtros de e-mail, sem dúvida, valem a pena. Eles liberam a maior parte das mensagens incompletas lançadas em sua caixa de entrada. No entanto, a lição que você deve aprender com os ataques do mundo real descritos acima é que confiar incondicionalmente nesses sistemas é um negócio arriscado.

“Você deve fazer sua lição de casa e seguir algumas dicas extras para melhorar sua higiene pessoal anti-phishing.” – em uma entrevista recente, conforme mencionado por Andrew Gitt, especialista sênior em tecnologia, cofundador e chefe de pesquisa da VPNBrains.

Andrew também fornece as seguintes recomendações em sua entrevista:

• Abster-se de clicar em links que chegam em e-mails.
• Não abra anexos recebidos de estranhos.
• Antes de digitar seu nome de usuário e senha em uma página de login, verifique se é HTTPS ou HTTP.
• Se um e-mail parecer legítimo e você decidir correr o risco de clicar em um link incorporado, verifique primeiro se há erros de digitação e outras ofertas no URL.
• Leia os e-mails recebidos com atenção e verifique o texto quanto a erros de ortografia, gramática e pontuação. Se você notar esses erros, a mensagem provavelmente é uma farsa.
• Ignore e jogue fora os e-mails que o pressionam a fazer algo. Por exemplo, os phishers geralmente impõem algum tipo de prazo para fazer as pessoas escorregarem. Não caia em tais truques.
• Cuidado com e-mails cujo conteúdo foge à norma em termos de suas tarefas diárias de trabalho.
• Se você receber uma mensagem de um gerente sênior solicitando uma transferência eletrônica, verifique novamente entrando em contato com a pessoa por telefone ou pessoalmente. As chances são de que você esteja lidando com um impostor que assumiu a conta de e-mail do colega.
• Preste atenção nas informações que você compartilha nas redes sociais. Atores mal-intencionados são adeptos da condução de inteligência de código aberto (OSINT), então eles podem usar seus dados pessoais publicamente disponíveis contra você.
• Se você for um executivo, certifique-se de criar um programa de treinamento de conscientização sobre phishing para seus funcionários.
• Habilite um firewall e instale um software de segurança online eficaz com um recurso anti-phishing integrado.

Você também pode gostar: Como proteger seu PC contra ataques cibernéticos, rastreamento e malware?

palavras finais

Sempre que os chapéus brancos surgem com um novo mecanismo de prevenção, os cibercriminosos fazem o possível para enganá-los. Uma tendência de segurança emergente e muito promissora nesse sentido é empregar inteligência artificial e aprendizado de máquina para identificar tentativas de phishing. Felizmente, essa abordagem manterá as defesas um passo à frente dos vetores de ataque, não importa o quão sofisticados sejam.

Por enquanto, a melhor coisa que você pode fazer é ficar atento e aproveitar ao máximo as ferramentas anti-phishing tradicionais que fazem maravilhas na maioria dos casos.