 |
| Imagem ilustrativa - Divulgação Check Point Software |
Os pesquisadores da Check Point
Software apontam como os hackers estão escondendo links maliciosos em imagens
enviadas por e-mail para redirecionar os usuários para sites de phishing
Os golpes bem-sucedidos raramente elucidam o que
está prestes a acontecer, pois os hackers contam com táticas enganosas de
engenharia social. Isso porque a ideia é fazer o usuário pensar que está
executando algo legítimo, mas, na verdade, não está. Uma maneira de os
atacantes realizarem isso é por meio da ofuscação. Ao ocultar a verdadeira
intenção do e-mail encaminhado, pode ser mais provável que um verificador de
segurança “pense” que ele está limpo e que um usuário abrirá e interagirá no
conteúdo do e-mail. E uma forma de fazer isso é usar algo esperado para atrair
a atenção, como uma imagem, e ocultar o conteúdo malicioso por trás dela.
A seguir, os pesquisadores da Check Point Research (CPR), divisão de
inteligência de ameaças da Check Point®
Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de
soluções de cibersegurança global, explicam como os hackers ocultam os
links maliciosos nas imagens para redirecionar os usuários para sites de
phishing.
O ataque
Nesse tipo de ataque, os hackers criam links
“mágicos” que mudam para o destino pretendido ao serem copiados e colados.
● Vetor de ataque: e-mail
● Tipo: Link malicioso
● Técnicas: Picture in Picture,
Ofuscação
● Alvo: qualquer usuário final
Exemplo de e-mail
 |
| E-mail malicioso informando participação gratuita em programa de fidelidade da Kohl’s |
A mensagem e a imagem parecerão ser de um e-mail padrão. No entanto, trata-se de uma mensagem falsa da Kohl's, mostrando que o usuário foi escolhido para participar de seu Programa de Fidelidade gratuito. Importante: a URL no rodapé da imagem não tem nada a ver com a Kohl's.
 |
| E-mail malicioso informando vale-presente da companhia aérea Delta |
O mesmo acontece nesta outra imagem, a qual é relativamente convincente sobre uma oferta de vale-presente da Delta. Mas, novamente, a URL não aponta para a Delta.
Ambas as URLs nas imagens são, de fato, um pouco semelhantes
entre si.
Ao clicar na imagem, os usuários são redirecionados
para as páginas clássicas de coleta de credenciais. “Atrás da imagem está a
URL. Mesmo imagens verdadeiras de marcas legítimas têm links para uma página. A
maioria dos e-mails de marketing funciona dessa maneira. Haverá uma imagem de
promoção de boa aparência e o link levará à página pretendida”, explica
Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software
para solução Harmony Email.
Nos exemplos acima, porém, a página pretendida não
tem nada a ver com a Delta ou a Kohl's, porém têm sim tudo a ver com roubo de
informações.
As técnicas
A ofuscação é um presente para os hackers. Isso
permite que eles façam um truque de mágica que funciona ocultando a verdadeira
intenção de sua mensagem. Neste caso, trata-se de uma imagem. A imagem
destina-se a atrair o usuário a clicar. Quem não gostaria de receber um
vale-presente da Delta de US$
1.000?
Os atacantes esperam que o usuário fique intrigado
o suficiente para não passar o mouse sobre a URL e ver que ela não corresponde.
Um usuário com olhos de águia veria isso e saberia imediatamente que algo está
errado. E eles também esperam que os filtros de URL também sejam confusos.
Parecerá limpo se eles não estiverem digitalizando dentro da imagem. Este é um
método bastante comum. Muitas vezes, os hackers vinculam um arquivo ou imagem
ou código QR a algo malicioso. Somente usando o OCR para converter as imagens
em texto ou analisando os códigos QR e decodificando-os, é possível ver a
verdadeira intenção. Mas, muitos serviços de segurança não fazem ou não podem
fazer isso.
Nesses casos exemplificados, os e-mails parecem
bastante legítimos. E sim, itens padrão como o endereço do remetente e o link
estão desativados. O fato de a URL estar oculta atrás da imagem torna as coisas
muito mais desafiadoras.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os
profissionais de segurança precisam:
● Implementar segurança que analisa todas as URLs e
emula a página por trás dela;
● Aproveitar a proteção de URL que usa técnicas de
phishing como esta como um indicador de um ataque;
● Aproveitar o software antiphishing baseado em IA
capaz de bloquear o conteúdo de phishing em todo o pacote de produtividade.
Check Point
Blog
YouTube
Nenhum comentário:
Postar um comentário