‘BEC 3.0’ está aqui com ataques cibernéticos QuickBooks da temporada de impostos

Início » Cibersegurança » ‘BEC 3.0’ está aqui com ataques cibernéticos QuickBooks da temporada de impostos

Read Time:5 Minute, 13 Second

Os cibercriminosos continuam a visar as vítimas com ataques de phishing habilmente criados, desta vez a partir de contas online do QuickBooks, com o objetivo de coletar credenciais. Os gambitos usam um nível de legitimidade e engenharia social indicativo de uma nova onda nos esforços de comprometimento de e-mail comercial (BEC), disseram os pesquisadores.

Os ataques mostram como os cibercriminosos continuam a desenvolver táticas de phishing à medida que a segurança e a detecção desses tipos de ofensivas melhoram, mudando para manobras que são ainda mais evasivas. Isso é de acordo com pesquisadores da Avanan, uma empresa da Check Point, que disseram em um post no blog em 6 de abril que essa evolução dos ataques pode ser considerada “BEC 3.0”.

Os agentes de ameaças agora estão se inscrevendo em contas gratuitas para serviços legítimos e, em seguida, visando vítimas de dentro desses serviços, usando endereços de e-mail de domínios que não serão sinalizados por ferramentas típicas de varredura, disseram os pesquisadores.

“O aspecto mais único [do ataque] é a evolução dos hackers aqui”, disse Jeremy Fuchs, pesquisador/analista de segurança cibernética da Avanan e autor do post do blog, ao Dark Reading. “Os hackers são incrivelmente hábeis em se ajustar. Tanto dinheiro e tecnologia foram jogados no que consideramos BEC 2.0, e muitas soluções ficaram realmente boas em pará-lo. Então, os hackers têm que se ajustar – e eles têm aqui.”

A Avanan já encontrou evidências de ataques semelhantes vindos de dentro PayPal e do Google, bem como ataques anteriores que já vieram de contas legítimas do QuickBooks. Piorando as coisas é o fato de que os invasores combinam essa tática com e-mails cuidadosamente escritos e socialmente projetados que estão livres da gramática ruim típica ou erros de digitação que os e-mails de phishing tradicionalmente usam e que os usuários aprenderam a detectar, disse Fuchs.

“Todos os truques típicos de higiene de phishing são jogados pela janela”, escreveu ele no post. “Você não pode ver uma discrepância no endereço do remetente. Os links são legítimos. A ortografia e a gramática estão no ponto.”

Isca comum sem erros de digitação

Arazão pela qual o phishing continua a ser um dos principais vetores de acesso inicial: ouso crescente por invasores de software como serviço legítimo (SaaS) e ofertas de nuvem, como LinkedIn, Google Cloud, AWS e muitos outros, para hospedar conteúdo malicioso ou direcionar os usuários para ele.

No caso do último ataque do QuickBooks, as mensagens informam as vítimas de que suas assinaturas de um produto antivírus Norton — Norton LifeLock — estão prestes a ser renovadas e solicitam ação da vítima para ligar para um número de telefone para verificar ou cancelar um pagamento de renovação automática.

Este último detalhe pode ser a única coisa que parece questionável até mesmo para o mais experiente dos usuários de e-mail, no entanto, como Fuchs diz, “muitas pessoas usam o Norton LifeLock – e isso vale tanto para consumidores quanto para empresas”.

Se uma vítima cair na isca, a campanha dá um soco duplo, já que os invasores podem colher não apenas credenciais de pagamento em potencial, mas também o número de telefone de uma vítima para futuros ataques de aplicativos de bate-papo como o WhatsApp, escreveu ele no post.

No geral, o ataque demonstra que os hackers estão ajustando táticas criando mensagens que parecem não apenas convincentes para os usuários finais, mas também são difíceis de serem captadas pelas proteções de segurança porque vêm de fontes legítimas, diz Fuchs. O QuickBooks, por exemplo, é um site perfeitamente seguro e, como é temporada de imposto de renda nos EUA e em outros países, um e-mail do serviço provavelmente não surpreenderá os usuários, diz Fuchs.

“O que os hackers fizeram foi pegar essa segurança e usá-la a seu favor”, diz ele. “Ao colocar links ou mensagens inseguras dentro de um recipiente seguro, ele pode facilmente evitar a detecção, porque o serviço de segurança está vendo que o receptáculo é seguro e passando-o adiante.”

De fato, todas as verificações padrão – domínio, SPF, DMARC, etc. — permitiria que esse tipo de e-mail passasse, e muitos serviços de segurança veriam o domínio da Intuit e apenas o enviariam sem mais verificações, de acordo com Fuchs.

“Não há um domínio recém-criado para olhar”, escreveu Fuchs no post. “O processamento de linguagem natural não fará muito bem. Isso é o que torna esses ataques tão incrivelmente complicados de superar.”

Táticas de mitigação

Com os invasores intensificando seu jogo de phishing de novas maneiras, as empresas e outras organizações também precisam acompanhar o ritmo em termos de proteção de segurança e armar os funcionários com ferramentas para identificar mensagens BEC 3.0, disseram os pesquisadores.

A educação avançada dos funcionários sobre os novos tipos de ataques de phishing pode ajudar muito a mitigá-los, de acordo com Fuchs.

“Isso requer uma nova onda de educação para os usuários”, escreveu ele no post. “Passar o mouse sobre os links não é tão útil – agora os usuários precisam ter cuidado com todos os links. Isso requer uma abordagem totalmente nova.”

Uma coisa importante que as organizações podem pedir aos funcionários para fazer é o Google números de telefone incluídos em mensagens suspeitas que exigem que eles façam um telefonema para agir, diz ele. No caso do ataque investigado pela Avanan, uma pesquisa no Google do número de telefone incluído na mensagem o sinalizou como sendo usado em golpes, descobriram os pesquisadores.

As organizações também podem implementar políticas para o tipo de ações que os e-mails BEC solicitam que exigem verificação independente de um segundo funcionário e podem ajudar a diminuir a probabilidade de um ataque bem-sucedido, diz Fuchs.

Outras medidas que as empresas podem tomar para evitar o comprometimento por ataques avançados de phishing incluem a implementação de políticas de proteção de dados que podem destacar quando um cartão de crédito ou outro método de pagamento é usado, alertando as equipes de segurança e as equipes financeiras de que algo está errado, diz ele.

Fuchs acrescenta: “Utilizar a segurança do navegador que segue um link através de todas as suas ações pretendidas também é útil”.

FONTE: DARK READING

POSTS RELACIONADOS

BYOD: Como educar seus funcionários sobre as melhores práticas de segurança cibernética

Por Karoline Gore Com o aumento dos arranjos de trabalho remoto e flexíveis, os programas Traga Seu Próprio Dispositivo (Bring

Ler mais

08/05/2024

A Ascensão dos Bots Maliciosos

Por Erez Hasson, Senior Product Marketing Manager da Imperva O Relatório Anual dos Bots Maliciosos da Imperva é sempre uma

Ler mais

06/05/2024

Como as empresas podem equilibrar segurança e experiência online?

Por Haider Iqbal O que é mais importante para os usuários hoje, segurança de dados ou uma boa experiência do

Ler mais

03/05/2024

Categorias

Posts Recentes

BYOD: Como educar seus funcionários sobre as melhores práticas de segurança cibernética

08/05/2024 Cibersegurança, Educação, Prevenção
A Ascensão dos Bots Maliciosos

06/05/2024 Ameaça, Proteção, Risco
Como as empresas podem equilibrar segurança e experiência online?

03/05/2024 Cibersegurança, Prevenção, Proteção
Marketing e cibercrime: uma análise das semelhanças inesperadas

02/05/2024 Ameaça, Cibersegurança, Prevenção
Como o Governo pode reforçar a segurança do Siafi após o ataque de 2024

29/04/2024 Cibersegurança, Prevenção, Proteção
O ciclo de vida de um arquivo digital

26/04/2024 Cibersegurança, Proteção, Solução