Os pesquisadores da Check Point Software revelam que hackers estão agora utilizando buckets S3 em conta da AWS para enviar links de phishing e dão dicas de segurança aos usuários finais para evitarem ser vítimas
Os pesquisadores da
Check Point Research (CPR), divisão de inteligência de ameaças da Check Point® Software
Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de
cibersegurança global, continuam identificando novas campanhas de phishing
nas quais os cibercriminosos se aproveitam de serviços legítimos e os utilizam
para disseminação. A razão para isto é por ser fácil para os hackers criarem
uma conta, muitas vezes gratuita, em vários sites.
“Os cibercriminosos contam com inúmeras ferramentas
à sua disposição para realizar esses ataques, de modo a criarem contas
gratuitas com esses serviços legítimos e enviá-las para vários alvos,
incorporando um link de phishing em um documento legítimo e enviá-lo por e-mail
diretamente do serviço”, relata Jeremy Fuchs, pesquisador e analista de
cibersegurança na Check Point Software para solução Harmony Email.
Isso tem sido verificado pelos especialistas com
Google, QuickBooks, PayPal, SharePoint, entre outros. “Agora, estamos vendo
outra ferramenta legítima usada para esses propósitos—AWS. A partir dos
serviços da ferramenta é enviado um e-mail – uma fatura, um documento. O e-mail
vem diretamente do serviço e é encaminhado para a caixa de entrada, passando
por todas as verificações típicas. Isto é fácil para os hackers fazerem, e
difícil para os serviços de segurança detectarem e para os usuários finais
perceberem”, alerta Fuchs.
A seguir, os pesquisadores explicam como os
cibercriminosos estão usando a AWS para enviar links de phishing.
Ataque
Neste tipo de ataque, os cibercriminosos estão
utilizando sites hospedados no Amazon Web Services (AWS) S3 Buckets para enviar
links de phishing.
• Vetor: E-mail
• Tipo: BEC 3.0
• Técnicas: Engenharia Social, Coleta de
Credenciais
• Alvo: Qualquer usuário final
Exemplo de e-mail
O ataque começa com um e-mail de phishing de
aparência padrão, solicitando a redefinição de senha. Para muitos usuários,
esse e-mail pode ser suficiente para interromper o engajamento. Os serviços de
segurança podem detectá-lo, dada a discrepância no endereço do remetente. Mas,
o link no endereço vai para um bucket S3 da AWS (contêiner para
armazenamento), que é legítimo. Caso o usuário clique no link, será
redirecionado para a página seguinte.
 |
Os pesquisadores informam o que deve ser observado
no e-mail e seu conteúdo. Primeiro é a URL: é um bucket S3,
um site legítimo da AWS. Qualquer pessoa pode hospedar um site — estático ou
dinâmico — na AWS. Requer um pouco mais de habilidades de codificação que
alguns dos outros ataques BEC 3.0, mas não é um grande aumento.
Um segundo ponto é que os hackers recriam uma
página de login da Microsoft. Além disso, o endereço de e-mail já está
preenchido - o usuário só precisa digitar a senha. O usuário também notará na
barra de URL que há uma parte borrada. É para lá que vai o endereço de e-mail
da vítima, fazendo parecer que ela já está conectada.
Técnicas
Ao contrário de alguns dos ataques BEC 3.0 que os
pesquisadores da Check Point Software registraram, esse ataque requer um pouco
mais de habilidades técnicas do atacante. Dito isso, ainda é básico o
suficiente para um cibercriminoso médio executar.
Os atacantes estão buscando credenciais. Depois de
obtê-las, os cibercriminosos têm as “chaves do reino”. Nesse ataque de phishing
via AWS, eles estão usando um bucket S3 para hospedar uma página da
web que redirecionará as credenciais de volta para eles.
“É bastante convincente; seguem uma prática com a
qual a maioria dos usuários está familiarizada que é a simples tarefa de
redefinir uma senha. O atacante fornece uma página de login semelhante à da
Microsoft, e o e-mail já está preenchido. Um truque dos hackers para dar
legitimidade. Os usuários finais podem identificar esse ataque observando a
URL, mas sabemos que nem sempre é assim. É muito mais fácil apenas digitar sua
senha e redefinir”, explica Fuchs.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os
profissionais de segurança precisam:
● Implementar segurança que usa IA para analisar
vários indicadores de phishing;
● Implementar segurança completa que também pode
digitalizar documentos e arquivos;
● Implementar proteção de URL robusta que verifica
e emula páginas da web.
Imagem ilustrativa - Divulgação Check Point Software
Check Point
Blog
YouTube
Nenhum comentário:
Postar um comentário