Campanha do Dropbox rouba credenciais do Microsoft SharePoint. Milhares de mensagens estão sendo enviadas semanalmente em uma campanha que usa links hospedados em sites legítimos para evitar o processamento de linguagem natural e as proteções de e-mail de varredura de URL.
Os agentes de ameaças estão usando mensagens enviadas do Dropbox para roubar credenciais de usuários da Microsoft em uma campanha de rápido crescimento de comprometimento de e-mail comercial (BEC). O esforço evita verificações de segurança baseadas em processamento de linguagem natural (PNL) e demonstra a rápida evolução desses tipos de ataques.
Pesquisadores da Check Point Harmony observaram mais de 5.000 ataques – nos quais páginas de login falsas levam as vítimas a um site de coleta de credenciais – somente nas primeiras duas semanas de setembro, revelaram em uma postagem no blog . Eles informaram ao Dropbox sobre a existência da campanha em 18 de setembro.
O ataque é mais um exemplo da última iteração do BEC – BEC 3.0 – em que os invasores usam sites legítimos que são familiares e confiáveis pelos usuários finais para enviar e hospedar material de phishing, escreveu a equipe da Check Point no post. Outros sites populares usados em ataques BEC 3.0 incluem Google, QuickBooks e PayPal.
“A legitimidade desses sites torna quase impossível a interrupção dos serviços de segurança de e-mail e a detecção pelos usuários finais”, segundo o post. “É uma das inovações mais inteligentes que vimos e, dada a escala deste ataque até agora, é uma das mais populares e eficazes”.
Na verdade, os ataques são perigosos para os utilizadores porque evitam tanto a tecnologia PNL como a verificação de URLs que a tecnologia de segurança de e-mail utiliza para sinalizar mensagens como suspeitas.
“A PNL é inútil aqui – a linguagem vem diretamente de serviços legítimos e nada está errado”, segundo o post. De forma semelhante, tentar sinalizar uma URL suspeita também não funciona, pois os links usados nas mensagens direcionam para um site legítimo do Dropbox .
Direto do Dropbox
As mensagens da campanha observadas pelos pesquisadores parecem vir diretamente do Dropbox, informando aos usuários que têm um arquivo ou arquivos para baixar. Clicar em um link incluído na mensagem leva as vítimas em potencial a outra página, onde são instruídas a clicar em um link para iniciar o download.
Esta segunda etapa da campanha é notável porque a página para a qual os usuários são direcionados está hospedada em um URL legítimo do Dropbox. No entanto, a página tem a marca OneDrive, um serviço de armazenamento e download em nuvem da Microsoft.
Se os usuários não perceberem a discrepância, o link nesta página secundária – que finge levar os usuários ao seu arquivo ou arquivos – leva a um site de phishing que parece um login do Microsoft SharePoint, pedindo às pessoas que insiram suas credenciais. Esta página final da campanha está hospedada fora do Dropbox.
O caso é um exemplo perfeito do chamado BEC 3.0, observaram os pesquisadores, que faz uso de serviços em nuvem. Embora os ataques BEC há muito falsifiquem ou personifiquem entidades legítimas, o BEC 3.0 representa um desafio totalmente novo para os defensores porque cria ataques que parecem vir de serviços legítimos, tornando-os particularmente difíceis de parar e identificar, tanto por parte de serviços de segurança como de utilizadores finais, o Equipe Check Point disse.
Evitando o compromisso BEC
Existem algumas medidas que as organizações podem tomar para ajudar seus funcionários a identificar ataques BEC 3.0 e também detê-los antes mesmo de chegarem ao usuário final, disseram os pesquisadores. Para o primeiro caso, as organizações devem educar os usuários sobre táticas comuns e incentivá-los a fazer uma pausa e observar atividades suspeitas antes de clicar em e-mails de fontes desconhecidas ou links não solicitados, de acordo com a postagem.
Por exemplo, a discrepância entre receber um e-mail de um domínio do Dropbox e receber uma página vinculada a uma conta OneDrive deveria ser uma indicação de que a campanha do Dropbox é maliciosa, observaram os pesquisadores da Check Point. Um usuário experiente poderia então identificar isso e excluir a mensagem antes mesmo de acessar a página de phishing.
A implementação de uma solução de segurança abrangente que inclua capacidades de digitalização de documentos e arquivos , defesas de IA, bem como um sistema robusto de proteção de URL que conduz verificações completas e emula páginas da web para maior segurança também pode ajudar a impedir campanhas BEC 3.0, de acordo com a Check Point.
As empresas devem tomar nota, dado que os ataques BEC estão a aumentar, não apenas em número, mas em sofisticação. Em 2022, o FBI informou que registou mais de 21.000 reclamações de BEC, totalizando perdas ajustadas de mais de 2,7 mil milhões de dólares, e que o vector de ataque custou às empresas em todo o mundo mais de 50 mil milhões de dólares nos últimos 10 anos. Esse número refletiu um crescimento nas perdas de negócios para o BEC de 17% ano a ano em 2022.
“É por isso que estes ataques estão a aumentar em frequência e intensidade”, escreveu a equipa da Check Point no post.
Fonte: Darkreading
Veja também:
- Mês da cibersegurança – o que comemorar?
- Segurança para o trabalho Híbrido
- Conformidade com o PCI DSS: O que é PCI DSS, requisitos e práticas recomendadas
- Você está fazendo o suficiente para garantir a conformidade?
- Novas campanhas de phishing disseminadas via Adobe
- DLP e Gerenciamento de Ameaças estão convergindo
- Prevenção de perda de dados ajuda a cibersegurança
- Google lança patch para vulnerabilidade de dia zero explorada ativamente
- A revolução tecnológica dos meios de pagamento
- Botnet Mirai: eletrodomésticos podem atacar usuários?
- Brasil sofreu cerca de 1.600 ataques de ransomware no primeiro semestre de 2023.
- LGPD e retenção de dados: como gerenciar e armazenar de forma segura?
3 Trackbacks / Pingbacks