Sites de compartilhamento e armazenamento de arquivos do Google foram usados em 65% dos quase 100 mil ataques do tipo
Golpistas estão explorando sites de compartilhamento de arquivos como Google Docs e Microsoft Sway para induzir vítimas a compartilharem credenciais de login, de acordo com pesquisa da Barracuda Networks. O ataque representa 4% de todos as ameaças de spear phishing nos primeiros quatro meses de 2020 – os analistas viram detecções constantes durante a primeira parte do ano. Os pesquisadores de cibersegurança da empresa esperam ver esse número subir, já que os cibercriminosos conseguem obter credenciais com esses ataques.
Nesse tipo de ataque de representação de marca, os golpistas aproveitam sites de arquivos, compartilhamento de conteúdo ou outros sites de produtividade como docs.google.com ou sway.office.com para convencer as vítimas a entregar suas credenciais. O e-mail de phishing geralmente contém um link para um desses sites legítimos, dificultando a detecção desse ataque altamente especializado. Além disso, uma variante particularmente complicada rouba o acesso à conta sem roubar credenciais, explica Don MacLennan, Vice-Presidente Sênior de Engenharia e Produtos, Proteção de E-mail na Barracuda, em comunicado no blog da empresa.
Dos quase 100.000 ataques baseados em formulários que a empresa detectou entre 1 de janeiro de 2020 e 30 de abril de 2020, os sites de compartilhamento e armazenamento de arquivos do Google foram usados em 65% dos ataques. Isso inclui storage.googleapis.com (25%), docs.google.com (23%), storage.cloud.google.com (13%) e drive.google.com (4).
Em comparação, as marcas da Microsoft foram direcionadas em 13% dos ataques: onedrive.live.com (6%), sway.office.com (4%) e forms.office.com (3%). Os outros sites usados em ataques de personificação incluem sendgrid.net (10%), mailchimp.com (4%) e formcrafts.com (2%). Todos os outros sites representavam 6% dos ataques baseados em formulários.
MacLennan explica as três táticas mais comuns usadas nos ataques dos cibercriminosos:
Com essa tática, os cibercriminosos tentam se passar por e-mails que parecem ter sido gerados automaticamente por um site de compartilhamento de arquivos como o OneDrive e levam suas vítimas a um site de phishing por meio de um site legítimo de compartilhamento de arquivos. O invasor envia um e-mail com um link que leva a um arquivo armazenado em um site como sway.office.com, por exemplo. O arquivo contém uma imagem com um link para um site de phishing solicitando credenciais para o login.
Com essa abordagem, os invasores criam um formulário on-line usando serviços legítimos, como forms.office.com. Os formulários se assemelham a uma página de login de um serviço legítimo, e o link para o formulário é incluído nos e-mails de phishing para coletar credenciais.
Esses ataques de representação são difíceis de detectar porque contêm links que apontam para sites legítimos que são frequentemente usados por organizações. No entanto, serviços que solicitam verificação de conta ou alterações de senha normalmente não usam esses domínios.
Nesta variante de ataque particularmente desagradável, os hackers podem acessar as contas de suas vítimas sem roubar suas credenciais. O e-mail de phishing original contém um link para o que parece uma página de login normal. Até o nome do domínio na janela do navegador parece corresponder ao que o usuário pode esperar ver.
No entanto, o link contém uma solicitação de um token de acesso para um aplicativo. Depois que as credenciais de login são inseridas, a vítima recebe uma lista de permissões de aplicativos a serem aceitas. Ao aceitar essas permissões, a vítima não está cedendo senhas aos atacantes, mas concede ao aplicativo do atacante um token de acesso para usar as mesmas credenciais de login para acessar a conta.
Ataques como esses provavelmente passarão despercebidos pelos usuários por um longo tempo. Afinal, eles usaram suas credenciais em um site legítimo. Mesmo a autenticação de dois fatores não fará nada para manter os invasores afastados, porque seu aplicativo malicioso foi aprovado pelo usuário para acessar contas.
Até a tarde desta quinta-feira (28), a Microsoft já havia desativado esse aplicativo específico, mas MacLennan diz que ainda é possível ver essa tática sendo usada.
A Barracuda Networks sugere quatro estratégias para ajudar a proteger sua organização dessas ameaças:
Os cibercriminosos estão ajustando suas táticas para ignorar gateways de e-mail e filtros de spam, portanto, você precisa de uma solução que use inteligência artificial para detectar e bloquear ataques, como controle de conta e representação de domínio. Implante a tecnologia que usa machine learning para analisar padrões de comunicação normais em sua organização, em vez de confiar apenas na procura de links ou anexos maliciosos. Isso permite que a solução localize anomalias que possam indicar um ataque.
A autenticação multifatorial, também chamada de MFA, autenticação de dois fatores e verificação em duas etapas, fornece uma camada adicional de segurança além do nome de usuário e da senha, como código de autenticação, impressão digital ou digitalização da retina.
Use a tecnologia para identificar atividades suspeitas e possíveis sinais de controle de contas, como logins em horários incomuns do dia ou em locais e endereços IP incomuns. Rastreie IPs que exibem outros comportamentos suspeitos, incluindo logins com falha e acesso de dispositivos suspeitos.
Monitore contas de e-mail também para ver regras maliciosas da caixa de entrada. Eles são frequentemente usados como parte da aquisição da conta. Os criminosos fazem login na conta, criam regras de encaminhamento e ocultam ou excluem qualquer e-mail que eles enviam da conta, para tentar encobrir seus rastros.
Informe os usuários sobre ataques por e-mail, incluindo ataques baseados em formulário, como parte do treinamento de conscientização sobre segurança. Garanta que os funcionários reconheçam os ataques, entendam sua natureza fraudulenta e saibam como denunciá-los. Use a simulação de phishing para treinar os usuários a identificar ataques cibernéticos, testar a eficácia do seu treinamento e avaliar os usuários mais vulneráveis a ataques.
