Hackers estão usando o Google Drive para roubar credenciais de empresas

Views: 109
0 0
Read Time:3 Minute, 21 Second

Um dos principais desafios para hackers de todos os tipos está na ocultação dos golpes, de forma que eles tenham aparência de legitimidade e não sejam detectados por usuários ou softwares de proteção. E para muitos destes criminosos, o Google Drive vem sendo um caminho comum para explorações dessa categoria, em uma onda crescente de ataques que usam a infraestrutura de nuvem para roubar credenciais, principalmente, do Office 365.

O alerta foi emitido pelos pesquisadores da Check Point Software Technologies, que apontaram esta como uma tendência cada vez mais crescente entre os criminosos. O foco principal, como sempre, são os usuários corporativos, cujos colaboradores estão na mira de ataques de phishing que envolvem relatórios reais de consultorias ou outras empresas que atuam no mercado, usados como vetor para roubo de dados.

A isca é um documento real, hospedado em PDF em uma conta do Google Drive. Ao ser aberto, ele também executa um código malicioso que abre uma página de phishing, normalmente do Office 365, mas que também pode pertencer à própria organização em que a vítima trabalha, onde as credenciais de acesso são solicitadas. Uma vez inseridos os dados, o usuário é efetivamente levado ao relatório e o golpe termina, com as informações sendo enviadas a servidores sob o controle dos hackers.

Documentos legítimos, hospedados no Google Drive, exibem pedido de credenciais de acesso e enviam dados aos hackers sem que usuários e softwares de segurança façam algo a respeito (Imagem: Reprodução/Check Point)

Em um dos casos analisados pela Check Point, parte de uma onda que se estende desde janeiro — ou seja, ainda antes da pandemia e do estado de home office que apenas ampliou a onda de ataques dessa categoria —, o relatório era de uma empresa de consultoria de mercado de consumo. O documento chega por e-mail em nome de um suposto representante da empresa e está no Google Drive, acabando por passar pela verificação de softwares de segurança. O código malicioso para roubo de credenciais, entretanto, é hospedado em um servidor com IP ucraniano.

Segundo os responsáveis pelo alerta, os hackers fazem uso de um recurso oficial do Google Drive, chamado Cloud Functions, que permite a execução de códigos a partir de documentos hospedados na nuvem. Assim, aponta o relatório, eles são capazes de rodar um ataque de phishing a partir do próprio documento e sem expor sua URL de origem, novamente, passando pelo crivo de softwares de segurança e evitando que o próprio usuário note o golpe por conta do endereço.

“O uso de serviços que utilizamos e nos quais confiamos torna muito mais difícil identificar um ataque de phishing e as bandeiras vermelhas tradicionais não nos ajudarão muito”, explica Lotem Finkelsteen, diretor de inteligência de ameaças da Check Point. De acordo com ele, no estado atual de funcionários trabalhando em home office e com a segurança digital prejudicada, golpes dessa categoria criam o que foi chamada de “pandemia cibernética”, com uma tendência de rápido crescimento e maior índice de efetividade.

Na visão dos especialistas, cabe aos usuários e empresas clientes da nuvem da Google, Amazon e outras se protegerem. A principal dica é ficar atento a arquivos ou links recebidos por e-mail, principalmente quando eles solicitarem ações que não são comuns, como o login em uma conta do Office 365 para acesso a um documento no Google Drive, por exemplo. Domínios semelhantes para envio das mensagens, erros de ortografia ou contatos não solicitados também são sinais de problemas.

Além disso, valem as indicações de sempre quanto a ofertas mirabolantes que cheguem por e-mail ou mensageiros instantâneos, assim como o download de soluções a partir de meios assim. Os especialistas indicam ainda que os usuários evitem o uso de senhas iguais entre diferentes aplicativos e contas, além de manterem soluções de segurança, sistemas operacionais e apps sempre atualizados.

Canaltech entrou em contato com o Google sobre o caso, mas a empresa não quis se pronunciar.

FONTE: CANALTECH

Previous post Caixas eletrônicos ‘cospem’ dinheiro após ataque hacker
Next post Grupo hacker Lazarus volta atacar com nova estrutura de malware

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *