Especialistas em segurança cibernética enfrentaram um esquema de phishing "revolucionário"

Um ciberataque recente foi apelidado de "mudança de jogo" - uma frase que você obviamente não vê todos os dias. O que torna aquele ataque de phishing específico tão impressionante?

O ataque foi detalhado e analisado pelo pesquisador de segurança Craig Hays em um artigo do Medium. Tudo começou com os alertas usuais de ataques de phishing que as empresas de segurança recebem dos clientes. No entanto, como a investigação inicial estava em andamento, minutos após o primeiro relatório, mais luzes vermelhas começaram a piscar conforme um número cada vez maior de contas de e-mail da mesma organização parecia ter sido comprometido.

As contas de e-mail hackeadas estavam enviando uma quantidade incomum de mensagens de saída, o que acionou os mecanismos de alerta. Eles estavam sendo acessados de locais incomuns em todo o mundo e estavam enviando muito mais e-mails do que o normal. O problema que a equipe de segurança encontrou, no entanto, foi que não havia uma indicação clara do vetor de ataque inicial - não havia nenhum dos sinais de alerta usuais que indicam uma tentativa de phishing bem-sucedida - nenhum e-mail recebido de endereços desconhecidos, nada.

O perigo da familiaridade

Descobriu-se que os e-mails de phishing realmente não se originaram de endereços suspeitos ou desconhecidos. Eles estavam sendo enviados como mensagens de resposta a e-mails genuínos e legítimos. O simples fato de que os links de phishing maliciosos estavam ocultos em e-mails recebidos de fontes aparentemente conhecidas.

O mecanismo por trás do ataque envolveu um bot sofisticado. Depois que um e-mail na rede atacada teve suas credenciais roubadas, o bot recebeu as informações de login, fez login na conta comprometida e começou a vasculhar as mensagens recebidas nos últimos dias. Cada cadeia de e-mail exclusiva descoberta dessa forma recebeu uma resposta do bot com uma mensagem que continha os links para o portal de phishing criado pelos criminosos. Notavelmente, os vigaristas haviam criado um texto suficientemente genérico para que clicar no documento falso anexado nunca parecia muito estranho ou fora do lugar.

Isso significa que a mensagem de phishing enviada pelo bot preservou o endereço, a linha de assunto original da cadeia de conversação, bem como toda a comunicação anterior, tornando-a incrivelmente crível e confiável na superfície, muito mais do que qualquer tentativa de phishing enviada por um endereço desconhecido que imediatamente aciona luzes de advertência, mesmo para usuários inexperientes.

Um malware de phishing semelhante a um worm

O fato de que o bot agiu como um worm, propagando-se pelas redes de e-mail da empresa, digitalizando as caixas de entrada e enviando sua isca de phishing confiável é significativo. Esse modo de propagação tornava a ameaça particularmente difícil de lidar. Finalmente, um padrão nos URLs maliciosos foi descoberto e sua adição a um filtro automático permitiu realmente conter e impedir a propagação do bot de phishing semelhante a um worm.

Outro fato importante que o relatório destaca é que o bot estava um pouco ansioso demais para o seu próprio bem. Se não houvesse volumes tão invulgarmente grandes de correspondência enviada para disparar os alarmes, o bot poderia ter passado despercebido por muito mais tempo e causado muito mais danos.

A lição final vital desse incidente foi que a autenticação multifator deve ser usada sempre que disponível e também disponibilizada o mais rápido possível, onde ainda não for uma opção.