Alguém está roubando as credenciais do Microsoft 365 e do Outlook das pessoas enviando e-mails de phishing disfarçados de notificações de correio de voz.
Essa nova campanha de e-mail foi detectada recentemente e está em andamento, de acordo com pesquisadores do ThreatLabz da Zscaler, e é semelhante a mensagens de phishing enviadas há alguns anos.
As campanhas de phishing com tema de correio de voz continuam sendo uma técnica de engenharia social bem-sucedida para os invasores, pois são capazes de atrair as vítimas para abrir os anexos de e-mail. Isso combinado com o uso de táticas de evasão para contornar soluções automatizadas de análise de URL ajuda o agente da ameaça a obter mais sucesso no roubo das credenciais dos usuários.
Como funciona o golpe?
O ataque começa com um e-mail que informa ao usuário-alvo que ele tem um correio de voz esperando por ele contido em um anexo.
Muitas pessoas não verificam o correio de voz, mas as mensagens de voz no WhatsApp e no LinkedIn já existem há vários anos, então pode ser uma maneira eficaz de enganar os usuários para clicar em um link em um e-mail.
Se o usuário abrir o anexo, ele será redirecionado para um site de phishing de roubo de credenciais: uma página que simula a página de entrada legítima da Microsoft. É solicitado que o usuário faça login para concluir o download da gravação do correio de voz, mas na verdade acabará entregando seu nome de usuário e senha aos criminosos.
O campo "de" do e-mail é criado para incluir o nome da empresa do destinatário para que pareça pelo menos um pouco convincente à primeira vista. O código JavaScript no anexo HTML é executado quando aberto e leva o usuário a uma página com uma URL que tem um formato consistente: incluindo o nome da empresa alvo e um domínio sequestrado ou usado pelo invasor.
Como exemplo, quando uma empresa é segmentada, a URL da página usa o formato asuaempresa.corp[.]com/<o seu e-mail>, de acordo com os pesquisadores.
Por que não pode ser detectado por soluções tecnológicas (Spam/Firewall/Antivirus)
Esse URL de primeiro estágio redireciona o navegador para uma página de segundo estágio em que a marca precisa responder a um CAPTCHA antes de ser direcionada para a página real de phishing de credenciais. As páginas usam a técnica reCAPTCHA do Google, assim como os ataques anteriores com tema de correio de voz há dois anos, que a equipe do ThreatLabz também analisou.
O uso do CAPTCHA permite que os criminosos evitem ferramentas automatizadas de verificação de URL, escreveram os pesquisadores. Uma vez passado esse estágio, as marcas são enviadas para o site final de phishing de credenciais, onde eles veem o que parece ser uma página de entrada regular da Microsoft solicitando suas credenciais. Se uma vítima cair no golpe, ela será informada de que sua conta não existe.
Os fraudadores que roubam credenciais estão usando servidores de e-mail no Japão para lançar os ataques, de acordo com o ThreatLabz.
Por que o phishing ainda é tão popular
O phishing ainda é tão popular em 2022 por um simples motivo: funciona! Isso ocorre porque os humanos continuam sendo o elo fraco da segurança cibernética. Na maioria das organizações brasileiras em particular, os usuários, em média, não são bem treinados ou nunca foram treinados. De acordo com o Relatório de Investigações de Violação de Dados de 2022 da Verizon, 82% dos incidentes de segurança de computadores começam com um ataque a um funcionário.
Quer garantir que seus funcionários saibam como reconhecer phishing e não cliquem nele? Clique aqui para saber mais.