Cibercriminosos empregam formulários do Google para extrair credenciais de logon de usuários desavisados do Office 365
Salvo algumas exceções, atacar uma organização tem o potencial de ser muito mais lucrativo do que atacar um usuário doméstico. As empresas têm muito mais a perder. Eles processam os dados da empresa e do cliente que não desejam que sejam comprometidos e, na maioria das vezes, sabem que a invasão de seus sistemas pode ter grandes consequências. À luz disso, você pode pensar que invadir com êxito uma organização comercial requer muito mais sofisticação. No entanto, uma recente campanha de phishing sobre a qual a Cofense escreveu mostra que esse nem sempre é o caso.
Usuários do Office 365 segmentados por uma campanha de phishing
Os especialistas da Cofense disseram que viram um aumento notável no número de e-mails de phishing destinados a usuários do Office 365 que trabalham para empresas de todas as formas e tamanhos. A campanha que eles examinaram mais de perto começou com outro ataque.
Os bandidos conseguiram comprometer a conta de e-mail de uma pessoa que trabalha para a CIM Finance, uma empresa de serviços financeiros. Após o ataque inicial, os criminosos usaram os sistemas da CIM Finance para enviar um grande número de e-mails de phishing, e o fato de as mensagens serem provenientes de uma empresa real os ajudou a passar por verificações antifalsificação como DKIM e SPF.
Os próprios e-mails supostamente vêm de uma "equipe corporativa de TI" que alerta o destinatário sobre a expiração de sua conta do Office 365. A mensagem indica que o usuário deve atualizar sua senha se não quiser ver sua conta suspensa. Como você já deve ter adivinhado, o botão "Atualizar agora" leva a uma página que não está conectada ao Office 365 de forma alguma.
Em vez disso, as vítimas veem uma página de login criada com o Google Forms que se disfarça como da própria Microsoft e solicita suas credenciais ao usuário. Qualquer coisa inserida nos campos é enviada aos criminosos com a ajuda de outro serviço gratuito oferecido pelo gigante dos motores de busca favorito no mundo - Google Drive.
Um ataque bruto que poderia ser muito eficaz
Os bandidos não se esforçaram muito no ataque. O fato de eles começarem comprometendo uma conta em uma empresa legítima pode fazer você pensar que eles sabem o que estão fazendo, mas, no geral, eles não mostraram o nível de sofisticação que você poderia esperar de um grupo de criminosos tentando atacar usuários de negócios.
Usando o Formulários Google para montar a página de phishing, por exemplo, os criminosos provavelmente conseguiram economizar alguns dólares, mas isso não fez nada para tornar o golpe mais legítimo. De fato, uma página exibida por um serviço do Google exibirá um ícone de cadeado verde na barra de endereço, o que pode enganar algumas pessoas. Além disso, os phishers menos preguiçosos instalam certificados SSL em seus kits de phishing cuidadosamente criados, de modo que isso não é uma grande vantagem.
O formulário de login falso foi descrito como "abaixo do padrão" pelos pesquisadores da Cofense, o que não é realmente uma surpresa, considerando as limitações do Google Forms. Os especialistas disseram que o layout está longe de ser convincente e que alguns erros de formatação e uso de letras maiúsculas acabam com o golpe rapidamente. O fato de que, quando um usuário digita sua senha no campo, ela sai como texto simples, com certeza disparará também alguns alarmes. Ou será?
Sem sombra de dúvida, isso está longe de ser o ataque de phishing mais sofisticado, mas o simples fato de existir mostra que os criminosos estão apostando em seu sucesso. Qualquer campanha de phishing depende do fracasso das pessoas em detectar os sinais às vezes óbvios de uma fraude, e os terabytes e terabytes de nomes de usuário e senhas roubados que são negociados nos mercados subterrâneos todos os dias mostram que isso acontece com mais frequência do que deveria. Nenhum ataque, por pior que seja, deve ser subestimado.
