Notificações falsas de correio de voz são após o Office365, credenciais do Outlook

Views: 245
0 0
Read Time:1 Minute, 43 Second

Uma campanha de phishing usando notificações falsas de correio de voz tem sido e ainda tem como alvo várias organizações com sede nos EUA, em uma tentativa de obter as credenciais de login do Office365 e do Outlook dos funcionários, adverte Zscaler.

correio de voz falso Office365

A campanha parece ser uma repetição de uma anterior, semelhante, e tem como alvo fornecedores de soluções de segurança, desenvolvedores de segurança de software, organizações de cadeia de suprimentos em fabricação e transporte, empresas de saúde e farmacêuticas e militares dos EUA. Zscaler foi uma entre as organizações visadas, o que lhes permitiu analisar a campanha na íntegra.

Como o ataque se desenrola

A coisa toda não poderia ser mais simples: o alvo recebe uma notificação falsa por e-mail, dizendo que eles têm um novo correio de voz e que podem ouvi-lo abrindo o anexo HTML anexado.

Para tornar a notificação mais crível, os atacantes garantem que o campo “De” do e-mail mencione especificamente o nome da organização alvo.

O arquivo HTML anexado contém JavaScript codificado que, em última análise, direciona o alvo para um site controlado por atacante, cuja URL é criada especificamente para o indivíduo alvo e a organização alvo.

Primeiro, eles encontram uma verificação CAPTCHA, que serve para evitar ferramentas anti-phishing, e depois chegam a uma página de phishing com tema da Microsoft estacionada em uma página/domínio que não tem relação com a Microsoft, mas que, de outra forma, parece crível:

correio de voz falso Office365

“O objetivo do ator de ameaças é roubar credenciais das contas Office365 e Outlook, ambas amplamente utilizadas em grandes empresas”, dizem os pesquisadores da Zscaler.

As campanhas de phishing com tema de correio de voz ainda estão fortes, eles observam, porque são eficazes. Os usuários não devem abrir anexos em e-mails enviados de fontes não confiáveis ou desconhecidas e devem verificar o URL na barra de endereços do navegador antes de inserir quaisquer credenciais, eles aconselham.

A empresa compartilhou uma lista de domínios registrados por atacantes aos quais os defensores corporativos podem bloquear o acesso.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS