Cibercriminosos criam contas QuickBooks para roubar dados e credenciais de usuários

Views: 48
0 0
Read Time:3 Minute, 1 Second

Uma vez que o domínio não é malicioso, as soluções de segurança podem falhar na identificação do ataque por considerar o próprio e-mail como legítimo

A Avanan alerta para uma campanha de phishing que explora o pacote de software QuickBooks para roubar dados dos usuários. Os cibercriminosos se fazem passar pelo QuickBooks para obter acesso aos e-mails. Ao aproveitarem-se da legitimidade de um domínio de confiança, é mais provável que as soluções de segurança vejam o próprio e-mail como legítimo.

Desde maio de 2022, os pesquisadores da Avanan observam os cibercriminosos utilizando o domínio QuickBooks – QuickBooks[.]intuit[.]com – para enviar faturas maliciosas e solicitar pagamentos fraudulentos. Os atacantes enviam o e-mail do domínio QuickBooks usando uma conta gratuita que subscreveram e falsificam o corpo do e-mail para imitar marcas de soluções como Norton ou Office 365.

O conteúdo da mensagem pode ser diferente dos serviços oferecidos pelo domínio, mas o principal ponto aqui é utilizar o serviço legítimo. Isto denomina-se “The Static Expressway“, uma tática em que os cibercriminosos fazem uso de páginas web que estão nas “Listas de Permissão Estática” para entrar na caixa de entrada de e-mails.

Depois de criar uma conta QuickBooks, faturas e pedidos de pagamento fraudulentos são enviados diretamente do serviço. Na imagem a seguir de um ataque, a legitimidade do serviço visado é adotado para ingressar na caixa de entrada.

No exemplo acima, os cibercriminosos apresentam o que parece ser uma fatura da empresa Norton. O e-mail vem de um domínio do QuickBooks. Isso ocorre porque os atacantes se inscreveram anteriormente em uma conta do Quickbooks e estão enviando uma fatura dessa conta. Eles apresentam uma fatura e incentivam o usuário a ligar se houver alguma dúvida. Ao telefonar para o número fornecido, eles solicitarão os dados do cartão de crédito para cancelar a transação. Nota-se que tanto o número de telefone como o endereço não correspondem a dados verdadeiros.

Os cibercriminosos, especialmente na Dark Web, utilizam uma combinação de engenharia social e domínios legítimos para extrair dinheiro e credenciais dos usuários finais. Ao adotar um domínio legítimo – neste caso, QuickBooks –  eles obtêm um domínio de confiança para enviar e-mails de phishing. Este tipo de ataque já foi identificado com muitas outras grandes marcas como MicrosoftGoogleWalgreensDHLAdobe e muitas mais que se encontram nas “Lista de Permissões Estáticas”. É claro que as organizações não podem bloquear o Google, portanto, os domínios relacionados ao Google podem entrar na caixa de entrada. Essas listas estáticas são continuamente roubadas por cibercriminosos.

Este é, na verdade, um duplo-ataque. Os cibercriminosos recebem dinheiro e têm um número de telefone para ameaças futuras, seja por mensagem de texto ou por WhatsApp. Existem dois grandes objetivos:

1) Conseguir que o usuário ligue para o número de telefone indicado.

2) Fazer o usuário pagar a fatura.

Acrescente-se a isto o fato de haver legitimidade incorporada, uma vez que o e-mail vem do QuickBooks, e representa uma campanha de phishing particularmente falsa e eficaz.

As melhores práticas para o usuário se proteger

1) Antes de ligar para um serviço desconhecido, faça uma pesquisa do número em um mecanismo de busca e verifique as contas para ver se existe de fato uma taxa.

2) Implementar soluções de segurança avançadas que analisem mais do que um indicador para determinar se um e-mail é confiável ou não.

3) Contatar o departamento de TI da empresa caso tenha dúvidas em relação à legitimidade de um e-mail.

FONTE: SECURITY REPORT

Previous post Volume de ransomware no final do primeiro trimestre de 2022 dobrou em comparação com ano anterior
Next post Chineses encontram falhas no software de automação CoDeSys

Deixe um comentário