Schemers se escondem atrás do SharePoint para expor vítimas a golpes de phishing

Costumamos dizer nessas páginas que, em termos técnicos, o phishing é a forma mais simples de crime cibernético. Mesmo assim, realizar um ataque de phishing bem-sucedido ainda requer alguma preparação, principalmente se os criminosos levarem a sério o que estão fazendo. Recentemente, Milo Salvia, da Cofense, escreveu sobre um ataque de phishing direcionado a instituições financeiras no Reino Unido, por exemplo, e deve-se dizer que, na maioria das vezes, foi bem pensado.

Um e-mail de phishing convincente

Os bandidos começaram comprometendo a conta de e-mail de alguém que trabalha para a Independent Legal Assessors Ltd. (ILA), uma empresa sediada em Londres que presta serviços jurídicos. A assinatura do email de phishing sugeria que ele foi enviado por David Philips, que, segundo o LinkedIn , é o diretor da ILA, embora devamos ressaltar que, como a Cofense redigiu o endereço do remetente, não podemos ter certeza de quem na empresa legal perdeu o controle da conta de e-mail deles.

Embora seja bastante curto, o próprio email não possui erros de digitação ou erros gramaticais comuns. É bem formatado, o que mais uma vez mostra que os bandidos realmente queriam criar um esquema convincente. De acordo com a mensagem, o Sr. Philips está enviando "uma proposta", que o alvo precisa revisar antes que "outros arranjos" sejam feitos. A referida proposta pode ser supostamente baixada de um link incluído no corpo da mensagem.

O link é fornecido com a proteção de URL na hora do clique da Symantec, que provavelmente é feita com a intenção de acalmar a mente do alvo. Afinal, este serviço foi projetado para verificar a URL para a qual aponta sempre que um usuário clica no link e, se algo estiver errado, deve bloquear todo o tráfego. O URL para o qual o link estava apontando, no entanto, não era malicioso.

Além de assumir a conta de email do ILA, os hackers comprometeram um perfil na plataforma de colaboração do SharePoint e o usaram para carregar um documento do OneNote. O arquivo foi criado para parecer uma proposta, mas o texto foi deliberadamente desfocado. Na parte inferior, havia um link que supostamente deixaria o destino fazer o download de uma versão legível da proposta. Como você pode imaginar, isso leva à página de phishing.

Segundo Milo Salvia, os criminosos comprometeram um site legítimo para hospedar sua página de phishing. As informações whois no domínio, no entanto, sugerem que esse pode não ser o caso. O email do administrador também foi usado para o registro de alguns domínios que parecem ter sido projetados especificamente para typosquatting .

O código fonte da página de phishing mostrou a Salvia que as credenciais roubadas foram enviadas diretamente por e-mail para uma conta do Gmail que, segundo o pesquisador, também foi comprometida pelos phishers.

Uma página de phishing pouco convincente

Neste ponto, parece que temos um ataque de phishing bem pensado. O email inicial é proveniente de um endereço legítimo, a proteção de URL na hora do clique deve garantir aos destinos que nada está errado, e o documento do SharePoint os leva a uma falsa sensação de segurança. Os phishers realmente deram as costas a ele, e você espera que, à luz de tudo isso, toda a operação de roubo de credenciais seja finalizada com uma página de phishing o mais próxima possível do original. Surpreendentemente, porém, os golpistas não se incomodaram muito com a parte final e mais crucial de todo o ataque.

O portal de phishing foi criado para se parecer com a página de login do Office365 for Business, mas a captura de tela fornecida pelo Cofense mostra que é uma imitação muito barata. As vítimas tiveram a opção de efetuar login com suas credenciais do Office365 ou com o nome de usuário e a senha de qualquer outro provedor de email. Normalmente, isso é feito para maximizar a quantidade de informações roubadas. Nesse caso em particular, no entanto, qualquer pessoa que tenha visto a aparência da página de login original teria dificuldade em acreditar no portal de phishing. Acontece que na verdade é um kit de phishing vendido por um grupo chamado Blackshop Tools. Dada a baixa qualidade, podemos imaginar que é uma das opções mais baratas.

Embora o resto do ataque tenha sido bem projetado, a página de phishing obviamente falsa deve ser um aviso suficiente para a maioria das pessoas. Na próxima vez em que tentarem roubar algumas credenciais de login, os criminosos poderão optar por um kit de phishing de qualidade superior, o que significa que você deve ter o cuidado de sempre, mesmo quando a comunicação na sua caixa de entrada parecer completamente legítima.