0
0
Uma campanha de engenharia social voltada para roubar credenciais de conta do Facebook e números de telefone de vítimas está visando páginas de negócios por meio de uma campanha experiente que incorpora o recurso de chatbot do Messenger do Facebook.
Isso está de acordo com uma análise da Trustwave SpiderLabs. Karl Sigler, gerente sênior de pesquisa de segurança, diz à Dark Reading que a campanha é notável por sua interatividade e por quão mais complexos os aspectos de engenharia social das campanhas de phishing se tornaram.
“Você não apenas clica em um link e, em seguida, é solicitado a baixar um executável — a maioria das pessoas vai entender que é um ataque e não clicar nele”, explica ele. “Neste ataque, é um link que leva você a um canal do tipo suporte técnico pedindo informações que você esperaria que o suporte técnico pedisse, e que o aumento do aspecto da engenharia social é relativamente novo com esses tipos de campanhas.”
Interativo e Aparentemente Legítimo: Uma Nova Face do Phishing
De acordo com a pesquisa, os ataques começam com e-mails, como costumam fazer. Os e-mails afirmam que as páginas de usuário serão encerradas em 48 horas devido a uma violação dos padrões da comunidade do Facebook – uma atração inteligente, apontaram os pesquisadores, uma vez que a gigante das mídias sociais tem falado de seus esforços para reprimir os infrações das regras.
O remetente, alegando ser da equipe de suporte do Facebook, afirma estar dando aos usuários a chance de apelar e oferece um botão “Apelar Agora” para clicar diretamente no e-mail. Se alguém passar o botão, a URL usará o serviço legítimo de encurtamento de URL do Meta (que usa a convenção “m.me”). Se os usuários clicarem, eles serão levados a uma conversa real do Messenger com um chatbot.
O chatbot afirma ser um representante da equipe de suporte do Facebook e apresenta outro botão “Apelo Agora” para as vítimas. O link incorporado leva os usuários a uma nova guia para um site hospedado no Google Firebase.
“O Firebase é um software de desenvolvimento de aplicativos que fornece aos desenvolvedores uma variedade de ferramentas para ajudar a criar, melhorar e expandir o aplicativo [tornando] fácil para qualquer pessoa criar e publicar páginas da web”, de acordo com a análise de terça-feira da Trustwave. “Os spammers aproveitam essa disponibilidade e, neste caso, construíram um site disfarçado de ‘Caixa de Entrada de Suporte’ do Facebook, onde o usuário pode supostamente recorrer da suposta exclusão de sua página.”
Nesta página, as vítimas agora são solicitadas a inserir seu endereço de e-mail ou número de celular, nome e sobrenome e nome da página. Uma caixa de texto adicional para um número de telefone é exibida, mesmo que um número de celular já esteja sendo solicitado na primeira caixa de texto. Depois de pressionar um botão “Enviar”, uma janela pop-up aparece solicitando as senhas das vítimas.
É claro que todos os dados são enviados diretamente para o banco de dados dos cibercriminosos.
O último elo da cadeia de ataques envolve uma jogada falsa de autenticação de dois fatores – os usuários recebem uma caixa pop-up solicitando um código e são informados de que receberão uma senha única, o que os atacantes fazem, já que conseguiram capturar os dados de e-mail e telefone das vítimas.
Finalmente, a página será redirecionado para a Central de Ajuda real do Facebook.
Reforçando a Confiabilidade no Phishing
Um dos aspectos que torna esta campanha tão eficaz é o fato de que os chatbots são uma característica comum do marketing digital e do suporte ao vivo nos dias de hoje, e as pessoas não estão inclinadas a suspeitar de seu conteúdo, especialmente se vierem de uma fonte aparentemente genuína.
“A campanha usa o mecanismo real de bate-papo do Facebook”, diz Sigler. “Quando você clica no link no e-mail e ele leva você literalmente para o Facebook, e você pode ver o perfil da sua conta no topo, você pode ver que é o Facebook, você pode olhar para a URL e ele tem o pequeno bloqueio que dá confiança. O suporte diz Suporte à Página. Eles me deram um número de caso. E isso geralmente é o suficiente para quebrar as barreiras que muitas pessoas colocam para identificar as bandeiras vermelhas associadas ao phishing.”
Sigler adverte que ataques como esses podem ser especialmente arriscados para os proprietários de páginas de negócios em particular.
“Isso poderia ser aproveitado muito bem em um tipo de ataque direcionado”, observa ele. “Se eu souber que uma organização padronizou clientes de mensagens específicos, seja Skype ou Teams ou Signal, posso começar a criar uma campanha específica para essa plataforma de mensagens.”
Os cibercriminosos podem causar muitos danos aos usuários corporativos com credenciais e números de telefone do Facebook, acrescenta Sigler.
“Se a pessoa responsável pela sua rede social cair nesse tipo de golpe, de repente, toda a sua página de negócios pode ser desfigurada, ou eles podem aproveitar o acesso a essa página de negócios para obter acesso diretamente aos seus clientes usando a legitimidade dessa presença no Facebook”, explica ele. “Eles também provavelmente precisarão acesso e dados adicionais à rede.”
Defesa contra Phishing com Treinamento de Conscientização do Usuário: Ainda Eficaz
O uso de infraestrutura válida para propagar tais ataques é um sinal de coisas que estão por vir no phishing, observa Sigler.
“Muitas vezes, esses tipos de ataques usarão sites clonados ou aqueles domínios tipográficos que se parecem com o Facebook, mas na verdade é ‘Facebock’, digamos”, diz ele. “Dando em frente, continuaremos a ver uma tendência de ataques provenientes de fontes tradicionalmente válidas, e será cada vez mais difícil distinguir essas campanhas por causa desse nível de legitimidade que elas estão fazendo por cima.”
Dito isso, vale a pena notar que esta campanha em particular não foi isenta de suas bandeiras vermelhas suspeitas. Por exemplo, os e-mails têm problemas gramaticais, como a capitalização inadequada da palavra “Página” e o período ausente no final da terceira frase, apontaram os pesquisadores. E no cabeçalho do e-mail, o remetente é chamado de “Problemas de política”, mas o domínio do remetente não pertence ao Facebook. Também é evidente nos cabeçalhos recebidos e no endereço IP do remetente do e-mail que ele não foi enviado pela plataforma de mídia social.
Também há problemas quando os usuários são levados para a suposta página de suporte.
“Uma inspeção mais detalhada do perfil que possui a página revelará que esta não é uma página de suporte real”, de acordo com a pesquisa. “O perfil usado é apenas uma página normal de negócios/fãs com zero seguidores e sem postagens. Mesmo que esta página possa parecer não utilizada, ela tinha um selo ‘Muito Responsivo’ que o Facebook define como tendo uma taxa de resposta de 90% e responde dentro de 15 minutos. Ele até ostentava um logotipo do Messenger como sua foto de perfil para parecer legítimo.”
“Embora esse tipo de ataque seja um pouco desajeitado do meu ponto de vista, e acho que muitas pessoas veriam através dele por causa das bandeiras vermelhas, acho que isso é um começo e acho que eles vão ficar muito mais inteligentes”, adverte Sigler.
Assim, a melhor defesa é se concentrar no treinamento de phishing do usuário, defende Sigler.
“Mais de 95% dos compromissos são inicialmente iniciados com alguém clicando no link errado em um e-mail de phishing”, observa Sigler. “Espero que as organizações estejam tendo treinamento contínuo de conscientização sobre segurança, porque a única coisa que você pode fazer para corrigir esse tipo de ataque é educar seus usuários. Portanto, é importante revisitar seu programa de conscientização de segurança, dar uma olhada no que você está ensinando atualmente aos seus funcionários e usuários sobre ataques de phishing e garantir que ele esteja atualizado e inclua algumas dessas campanhas mais complexas.”
FONTE: DARK READING