Pesquisadores da Check Point Software identificam
uma campanha de phishing em que cibercriminosos se passam por serviços de
compartilhamento de arquivos e assinatura eletrônica para distribuir iscas com tema financeiro que
simulam notificações legítimas
Imagem ilustrativa – Divulgação
Check Point Software
O mundo hiperconectado facilitou como nunca a troca de documentos, a aprovação de transações e a conclusão de fluxos financeiros críticos com um clique. Plataformas de compartilhamento digital e de assinatura eletrônica, amplamente usadas em bancos, no mercado imobiliário, no setor de seguros e nas operações corporativas, tornaram-se essenciais para a agilidade das organizações modernas. Contudo, essa mesma conveniência abre espaço para a ação de cibercriminosos.
Os
pesquisadores de segurança de e-mail da Check
Point Software acabam de
descobrir uma campanha de phishing em que atacantes se passam por serviços de
compartilhamento de arquivos e assinatura eletrônica para distribuir iscas com
tema financeiro parecendo notificações legítimas. Neste incidente, os
cibercriminosos enviaram mais de 40.000 e-mails de phishing direcionados a
aproximadamente 6.100 empresas ao redor do mundo nas últimas duas semanas.
Todos os links maliciosos foram direcionados por meio do endereço [https[:]//url[.]za[.]m[.]mimecastprotect[.]com],
aumentando a confiança ao imitar fluxos de redirecionamento já conhecidos.
Funcionamento da campanha
Os cibercriminosos exploraram o recurso de reescrita de links seguros da Mimecast, usando-o como uma cortina de fumaça para que seus links parecessem legítimos e autenticados. Como o Mimecast Protect é um domínio confiável, essa técnica permite que URLs maliciosas evitem os filtros automatizados e reduzam a desconfiança dos usuários.
Para
ampliar a credibilidade, os e-mails copiaram visuais oficiais dos serviços
(logos da Microsoft e de produtos Office), usaram cabeçalhos e rodapés no
estilo do serviço e botões “revisar Documento”, além de falsificarem nomes de
exibição como “X via SharePoint (Online)”, “eSignDoc via Y” e “SharePoint”,
combinando de perto com padrões autênticos de notificação.
Variação
relacionada: phishing estilo DocuSign usando um método de redirecionamento
diferente
Paralelamente à grande campanha envolvendo o MS SharePoint e serviços de assinatura, os pesquisadores também identificaram uma operação menor, porém relacionada, que imita notificações do DocuSign. Assim como o ataque principal, tal operação imita uma plataforma SaaS confiável e utiliza infraestrutura legítima de redirecionamento, mas a técnica usada para mascarar o destino malicioso é significativamente diferente.
Na
campanha principal, o redirecionamento secundário funciona como um redirecionamento
aberto, deixando a URL final de phishing visível na sequência de consulta,
mesmo estando envelopada por serviços considerados confiáveis. Na variante com
tema da DocuSign, o link passa por uma URL do Bitdefender GravityZone e depois
pelo serviço de rastreamento de cliques da Intercom, com a verdadeira página de
destino totalmente encoberta atrás de um redirecionamento com identificação
exclusiva. Essa abordagem oculta completamente a URL final, tornando a variante
que imita o DocuSign ainda mais camuflada e difícil de ser detectada.
Imagem 1: Exemplo de um e-mail de phishing interceptado pelos pesquisadores da Check Point Software
 |
| Imagem 2: Exemplo de e-mail de phishing da variante com temática DocuSign usada na campanha |
Escala e padrões da campanha
A
campanha mirou majoritariamente organizações nos Estados Unidos, Europa,
Canadá, Ásia-Pacífico e Oriente Médio (a América Latina ficou fora do recorte
por apresentar volume considerado irrelevante pelos pesquisadores). O foco principal
recaiu sobre consultoria, tecnologia e construção/imobiliário, mas houve
impacto adicional em saúde, finanças, manufatura, mídia e marketing, transporte
e logística, energia, educação, varejo, hospedagem e viagens, além do setor
público.
Esses
setores são alvos atraentes porque rotineiramente trocam contratos, faturas e
outros documentos transacionais, tornando iscas que imitam compartilhamento de
arquivos e assinatura eletrônica altamente convincentes e mais propensas a ter
sucesso.
Dados
da telemetria da solução Check Point Harmony Email mostraram que mais de 40.000
e-mails de phishing foram direcionados a aproximadamente 6.100 empresas nas
últimas duas semanas e a distribuição por região é a seguinte:
Estados
Unidos: 34.057
Europa:
4.525
Canadá:
767
Ásia:
346
Austrália:
267
Oriente
Médio: 256
Observação:
A distribuição regional reflete onde os dados dessas empresas estão hospedados
na infraestrutura da Check Point Software, e não necessariamente sua
localização física.
Os
pesquisadores já haviam documentado campanhas semelhantes de phishing em anos anteriores, mas o diferencial deste
ataque é mostrar como os cibercriminosos conseguem reproduzir com facilidade
serviços confiáveis de compartilhamento de arquivos para enganar usuários,
reforçando a necessidade de vigilância constante, sobretudo quando e-mails
trazem links clicáveis, remetentes duvidosos ou conteúdo fora do padrão no
corpo da mensagem.
Orientações de proteção para empresas e usuários finais
As organizações e os indivíduos também devem tomar medidas proativas para
reduzir riscos. Algumas formas de se proteger incluem:
- Trate
sempre com cautela links incorporados em e-mails, sobretudo quando forem
inesperados ou transmitirem senso de urgência.
- Prestar
muita atenção aos detalhes do e-mail, como discrepâncias entre o nome
exibido e o endereço real do remetente, inconsistências na formatação,
tamanhos de fonte incomuns, logos ou imagens de baixa qualidade e qualquer
coisa que pareça fora do comum.
- Passar
o mouse sobre os links antes de clicar para inspecionar o destino real e
garantir que ele corresponda ao serviço que supostamente enviou a
mensagem.
- Abra
o serviço diretamente no navegador e procure o documento por conta
própria, em vez de clicar em links enviados por e-mail.
- Educar
funcionários/colaboradores e equipes regularmente sobre novas técnicas de
phishing para que entendam como padrões suspeitos se apresentam.
- Usar
soluções de segurança como detecção de ameaças por e-mail, mecanismos
antiphishing, filtragem de URLs e ferramentas de reporte pelo usuário para
fortalecer a proteção geral.
Follow Check Point
LinkedIn, X (formerly Twitter), Facebook, YouTube and blog.
Check Point Software Technologies Ltd
Este comunicado de imprensa contém declarações prospectivas. Declarações prospectivas geralmente se referem a eventos futuros ou ao nosso desempenho financeiro ou operacional futuro. As declarações prospectivas neste comunicado incluem, mas não se limitam a, declarações relacionadas às nossas expectativas quanto ao crescimento futuro, à ampliação da liderança da Check Point no setor, à valorização para os acionistas e à entrega de uma plataforma de cibersegurança líder do setor para clientes em todo o mundo. Nossas expectativas e crenças em relação a esses assuntos podem não se concretizar, e os resultados reais ou eventos futuros estão sujeitos a riscos e incertezas que podem fazer com que os resultados ou eventos reais sejam significativamente diferentes dos projetados. As declarações prospectivas contidas neste comunicado também estão sujeitas a outros riscos e incertezas, incluindo aqueles descritos de forma mais completa em nossos arquivos junto à Securities and Exchange Commission (SEC), incluindo nosso Relatório Anual no Formulário 20-F arquivado na SEC em 2 de abril de 2024. As declarações prospectivas contidas neste comunicado são baseadas nas informações disponíveis para a Check Point na data deste documento, e a Check Point se isenta de qualquer obrigação de atualizar qualquer declaração prospectiva, exceto quando exigido por lei.
Nenhum comentário:
Postar um comentário