0
0
Uma onda recente de esquemas de phishing de mídia social dobra as táticas agressivas de susto com acusações falsas de abuso de conta para coagir as vítimas a entregar seus detalhes de login.
Somente na semana passada, o Malwarebytes Labs descobriu dois golpes de phishing, visando o Twitter e o Discord (um aplicativo de bate-papo por voz, vídeo e texto). O golpe de phishing do Twitter envia aos usuários uma mensagem direta (DM) sinalizando sua conta para o uso de discurso de ódio e solicitando que o usuário autentique a conta para evitar uma suspensão. Os usuários são então redirecionados para uma falsa “Central de Ajuda do Twitter”, que solicita as credenciais de login do usuário.
A campanha de phishing Discord envia aos usuários uma mensagem de amigos ou estranhos acusando o usuário de enviar fotos explícitas que estão expostas em um servidor. A mensagem inclui um link para o suposto servidor e, se o usuário quiser seguir o link, ele será solicitado a fazer login via código QR. Se o fizerem, a conta provavelmente será assumida por golpistas, de acordo com o Malwarebytes. A mensagem é então enviada para os amigos do usuário a partir de sua conta, perpetuando o golpe de phishing.
Patrick Harr, CEO da SlashNext, uma empresa antiphishing, diz que os ataques do Twitter e Discord são uma reviravolta inteligente no golpe tradicional de engenharia social para roubar credenciais. Os melhores golpes de engenharia social usam medo ou indignação para mover a vítima a agir rapidamente sem levar muito tempo para pensar “É um golpe de phishing?”, ele explica.
“Em ambos os casos, os usuários do Twitter e do Discord estão motivados a resolver um problema que pode afetar seu status, negócios ou entretenimento, e é por isso que esse phishing é tão eficaz”, observa ele.
As plataformas de mídia social são alvos perpétuos de campanhas de phishing, usando manipulação psicológica para incentivar as vítimas a divulgar credenciais de login confidenciais. As informações roubadas são então usadas por atores maliciosos para sequestrar as contas de mídia social do usuário ou até mesmo obter acesso às suas contas bancárias.
Mas o mais importante para as empresas, ataques bem-sucedidos de mídia social contra seus funcionários podem abrir a porta para a infiltração na rede da empresa por meio do dispositivo infectado do usuário ou credenciais abusadas. “Isso significa que as empresas precisam de uma estratégia BYOD que inclua proteção multicanal de phishing e malware para proteger as redes sociais, os jogos e todos os aplicativos de mensagens”, diz Harr.
Medo e Urgência como Ferramentas de Phishing
James McQuiggan, defensor da conscientização de segurança da KnowBe4, explica que os phishes nas mídias sociais são eficazes porque usam o medo e a urgência para fazer com que a vítima tome uma ação que, de outra forma, não poderia tomar. “Muitas vezes, os ataques de phishing dependem da vítima reagir ao e-mail em um estado emocional”, diz ele. “A vítima vê o e-mail e responde sem verificar adequadamente o remetente ou o link.”
Um exemplo é a ameaça de a conta de mídia social ser suspensa ou um aviso de que a senha expirou. Quando a vítima clica no link e visita o site falso, ele se parece exatamente com a página de login, e o usuário insere suas credenciais.
E se o usuário empregar autenticação multifatorial (MFA) com a conta, diz ele, o invasor pode copiar essa chave de sessão para ignorar o login e obter acesso automaticamente antes que a vítima perceba.
Os atacantes geralmente criam situações de alta pressão para aumentar suas taxas de sucesso. “Se o alvo não tiver tempo para pensar ou se sentir pressionado a agir, eles provavelmente ignorarão quaisquer bandeiras vermelhas ou reações instinais dizendo-lhes para não se envolver”, diz Hank Schless, gerente sênior de soluções de segurança da Lookout.
Nos dois incidentes envolvendo Discord e Twitter, diz Schless, os atacantes foram pela integridade do indivíduo. “A vergonha pública associada ao discurso de ódio ou comportamento inadequado pode ser suficiente para fazer com que alguém aja sem pensar”, diz ele.
Força de Trabalho Remota Suscetível a Phishing
McQuiggan aponta que os trabalhadores remotos têm menos interação presencial com as pessoas ao seu redor e são menos propensos a compartilhar a experiência ou o evento com seus colegas de trabalho sentados ao lado deles.
“Suponha que a organização não esteja fornecendo equipamentos da organização”, diz ele. “Nesse caso, eles certamente estarão usando seus próprios dispositivos e estarão mais relaxados com eles em casa do que com uma máquina de sua organização.”
Não é difícil para os cibercriminosos pesquisar no LinkedIn ou no Twitter para ver quais usuários trabalham para as equipes de relações públicas, marketing ou comunicação e depois trabalhar para segmentá-los. Ele diz que o spear-phishing é um vetor de ataque superior para fazer com que os funcionários cliquem nos links e “abram a porta da frente eletrônica” da organização.
O Harr da SlashNext diz que o treinamento deve incluir golpes de engenharia social para demonstrar como as interações pessoais, como as interações com mídias sociais, podem afetar sua vida profissional. “No entanto, ouvimos dos clientes que fazer ajustes de políticas que restringem o uso de aplicativos móveis, sociais ou outros aplicativos pessoais pelos funcionários não é bem recebido”, diz ele. “Na verdade, pedir aos funcionários que instalem segurança gerenciada em seus dispositivos pessoais também não é um começo.”
McQuiggan diz que treinamento adicional é certamente um método de conscientizar os usuários sobre os vários ataques de mídia social. “Evite confiar nos links no e-mail e use-o como um alerta para verificar a conta”, acrescenta ele. “Use o aplicativo ou um navegador para fazer login e verificar se uma conta está errada ou está tendo problemas, conforme mencionado no e-mail de phishing.”
As organizações devem empregar proteção de phishing móvel em toda a sua base de usuários – tanto para dispositivos corporativos quanto pessoais, recomenda a Schless.
“As credenciais de phishing em dispositivos móveis geralmente é como os atacantes podem obter acesso discreto à infraestrutura mais ampla e executar ataques mais avançados, como ransomware”, explica ele. “A proteção contra esses ataques mais avançados requer visibilidade de como os usuários estão acessando aplicativos e dados e, em seguida, como eles interagem com esses dados.”
Ataques de phishing Simplesmente não vão morrer
Schless também está vendo um aumento recente no phishing por voz (vishing) e phishing por código QR. “Também pode haver um uso mais amplo da tecnologia deepfake para se passar por voz ou rosto de um indivíduo, a fim de tornar a comunicação maliciosa ainda mais convincente”, diz ele.
Harr diz que os golpes de phishing de engenharia social continuam sendo um problema sério para as organizações. “Vimos um aumento nas solicitações de proteção de SMS e mensagens, já que o compromisso de texto comercial, como o compromisso de e-mail comercial, está se tornando um problema crescente para uma organização detectar e bloquear.”
FONTE: DARK READING