Campanha leva as vítimas em potencial a uma página de verificação reCAPTCHA e a uma página de login falsa, onde as credenciais são roubadas
A Microsoft alertou os clientes do Office 365 que eles estão monitorando uma ampla campanha de phishing de credencial usando links redirecionadores abertos, que leva ao comprometimento da credencial e expõe o usuário e sua organização a outros ataques. Os links redirecionados levam as vítimas a uma página reCAPTCHA do Google que leva a uma página de login falsa, onde as credenciais do Office 365 são roubadas.
“Os invasores combinam esses links [redirecionadores com iscas de engenharia social que personificam ferramentas e serviços de produtividade conhecidos para atrair os usuários a clicarem. Isso leva a uma série de redirecionamentos – incluindo uma página de verificação CAPTCHA que adiciona um senso de legitimidade e tenta escapar de alguns sistemas de análise automatizados – antes de levar o usuário a uma página de login falsa”, disse a equipe do Microsoft 365 Defender Threat Intelligence, em uma postagem no blog.
O uso de links de redirecionamentos abertos em comunicação por e-mail é comum entre as organizações, sobretudo a partir de ferramentas de vendas e marketing. No entanto, os invasores podem vinculá-los a uma URL de domínio confiável e incorporar a eventual URL final mal-intencionada como parâmetro. “Esse abuso pode impedir que usuários e soluções de segurança reconheçam rapidamente possíveis intenções maliciosas”, disse a empresa.
O método atinge também usuários mais treinados, que passam o mouse sobre o link para identificar se o domínio é confiável antes de clicar nele.
“Como os atores configuram links de redirecionamento abertos usando um serviço legítimo, os usuários veem um nome de domínio legítimo que provavelmente está associado a uma empresa que eles conhecem e confiam. Acreditamos que os invasores abusam dessa plataforma aberta e confiável para tentar escapar da detecção e, ao mesmo tempo, redirecionar as vítimas em potencial para sites de phishing”, avisa a Microsoft.
Segundo a gigante de tecnologia, o phishing continua a crescer como um vetor de ataque dominante para coletar as credenciais do usuário. No Relatório de Defesa Digital de 2020 , a Microsoft diz que bloqueou mais de 13 bilhões de e-mails maliciosos e suspeitos no ano anterior, com mais de 1 bilhão desses e-mails classificados como ameaças de phishing baseadas em URL.
Embora esse tipo de invasão não seja novidade, a Microsoft abordou o problema depois de perceber uma campanha de phishing em agosto que dependia de URLs falsificados da Microsoft.
Os analistas contam que, até a redação do artigo, já haviam sido observados pelo menos 350 domínios de phishing exclusivos usados para esta campanha. “Isso não apenas mostra a escala com a qual esse ataque está sendo conduzido, mas também mostra quanto os invasores estão investindo nele, indicando recompensas potencialmente significativas”, escreveram.
Nessa campanha, a Microsoft identificou que os cabeçalhos de assunto do e-mail foram adaptados à ferramenta que o invasor estava personificando, como um alerta de calendário para uma reunião do Zoom, uma notificação de spam do Office 365 ou um aviso sobre a política de expiração de senha amplamente usada.
“Nesta campanha, percebemos que os emails pareciam seguir um padrão geral que exibia todo o conteúdo do e-mail em uma caixa com um grande botão que levava a páginas de coleta de credenciais quando clicado. As linhas de assunto dos e-mails variam de acordo com a ferramenta que eles representam. Em geral, vimos que as linhas de assunto continham o domínio do destinatário e um carimbo de data/hora”, detalharam.
Embora a verificação do Google reCaptcha aumente a aparente legitimidade do site, na campanha analisada pela equipe da Microsoft, o usuário foi redirecionado para uma página que se parece com uma página de login de classe da empresa, solicitando a senha do usuário.
“O site é pré-preenchido com o endereço de e-mail do destinatário para adicionar legitimidade à solicitação. Essa técnica aproveita o comportamento familiar de logon único (SSO) para induzir os usuários a digitar credenciais corporativas ou outras credenciais associadas ao endereço de e-mail”.
Sendo assim, se o usuário inserir a senha, a página será atualizada e exibirá uma mensagem de erro informando que o tempo limite da página expirou ou a senha estava incorreta e que ele deve inserir a senha novamente. “Isso provavelmente é feito para que o usuário insira a senha duas vezes, permitindo que os invasores garantam a obtenção da senha correta”, disseram os analistas.
“Assim que o usuário digita sua senha pela segunda vez, a página o direciona para um site legítimo da Sophos que afirma que a mensagem de e-mail foi liberada. Isso adiciona outra camada de falsa legitimidade à campanha de phishing”, adicionaram.
Para o Google, redirecionamentos abertos não é uma vulnerabilidade de segurança, ainda que admita que possa ser usada para adicionar outras vulnerabilidades.
“Redirecionadores abertos levam você de um URL do Google para outro site escolhido por quem construiu o link. Alguns membros da comunidade de segurança argumentam que os redirecionadores auxiliam o phishing, porque os usuários podem estar inclinados a confiar na dica de ferramenta de passar o mouse sobre um link e depois falham em examinar a barra de endereço assim que a navegação ocorre”, escreveram.
“Nossa opinião sobre isso é que as dicas de ferramentas não são um indicador de segurança confiável e podem ser adulteradas de várias maneiras; portanto, investimos em tecnologias para detectar e alertar os usuários sobre phishing e abuso, mas geralmente consideramos que um pequeno número de os redirecionadores monitorados oferecem benefícios bastante claros e apresentam muito poucos riscos práticos”.
