0
0
Milhares de credenciais do Microsoft 365 foram descobertas armazenadas em texto simples em servidores de phishing, como parte de uma campanha incomum e direcionada de coleta de credenciais contra profissionais do setor imobiliário. Os ataques mostram o risco crescente e em evolução que as combinações tradicionais de nome de usuário e senha apresentam, dizem os pesquisadores, especialmente porque o phishing continua a crescer em sofisticação, evitando a segurança básica de e-mail.
Pesquisadores da Ironscales descobriram a ofensiva, na qual ciberataques comprometeram credenciais de contas de e-mail para funcionários de dois conhecidos fornecedores de serviços financeiros no setor imobiliário: First American Financial Corp. e United Wholesale Mortgage. Os cibercriminosos estão usando as contas para enviar e-mails de phishing para corretores de imóveis, advogados imobiliários, agentes de títulos e compradores e vendedores, disseram analistas, na tentativa de orientá-los a páginas de login do Microsoft 365 falsificadas para capturar credenciais.
Os e-mails alertam os alvos de que os documentos anexados precisam ser revisados ou que eles têm novas mensagens hospedadas em um servidor seguro, de acordo com uma postagem de 15 de setembro na campanha da Ironscales. Em ambos os casos, os links incorporados direcionam os destinatários para as páginas de login falsas, solicitando que eles entrem no Microsoft 365.
Uma vez na página maliciosa, os pesquisadores observaram uma reviravolta incomum nos procedimentos: os invasores tentaram aproveitar ao máximo seu tempo com as vítimas tentando descobrir várias senhas de cada sessão de phishing.
“Cada tentativa de enviar essas 365 credenciais retornou um erro e levou o usuário a tentar novamente”, de acordo com o artigo dos pesquisadores. “Os usuários geralmente enviam as mesmas credenciais pelo menos mais uma vez antes de tentar variações de outras senhas que possam ter usado no passado, fornecendo uma mina de ouro de credenciais para os criminosos venderem ou usarem em ataques de força bruta ou preenchimento de credenciais para acessar contas financeiras ou de mídia social populares.”
O cuidado no direcionamento das vítimas com um plano bem pensado é um dos aspectos mais notáveis da campanha, disse Eyal Benishti, fundador e CEO da Ironscales, ao Dark Reading.
“Isso está indo atrás de pessoas que trabalham no setor imobiliário (agentes imobiliários, agentes imobiliários, advogados imobiliários), usando um modelo de phishing de e-mail que falsifica uma marca muito familiar e um apelo à ação familiar (‘revise estes documentos seguros’ ou ‘leia esta mensagem segura’)”, diz ele.
Não está claro até que ponto a campanha pode se espalhar, mas a investigação da empresa mostrou que pelo menos milhares foram alvo de phishing até agora.
“O número total de pessoas que sofreram phishing é desconhecido, apenas investigamos algumas instâncias que cruzaram nossos clientes”, diz Benishti. “Mas apenas a partir da pequena amostra que analisamos, há mais de 2.000 conjuntos exclusivos de credenciais encontrados em mais de 10.000 tentativas de envio (muitos usuários forneceram credenciais iguais ou alternativas várias vezes).”
O risco para as vítimas é alto: transações relacionadas a imóveis são frequentemente direcionadas para golpes de fraude sofisticados, especialmente transações envolvendo empresas de títulos imobiliários .
“Com base em tendências e estatísticas, esses invasores provavelmente desejam usar as credenciais para interceptar/direcionar/redirecionar transferências eletrônicas associadas a transações imobiliárias”, de acordo com Benishti.
Links seguros da Microsoft falham no trabalho
Também notável (e lamentável) nesta campanha em particular, um controle básico de segurança aparentemente falhou.
Na rodada inicial de phishing, o URL que os alvos foram solicitados a clicar não tentou se esconder, observaram os pesquisadores – ao passar o mouse sobre o link, um URL com bandeira vermelha foi exibido: “https://phishingsite.com /folde…[ponto]shtm.”
No entanto, as ondas subsequentes ocultaram o endereço por trás de uma URL de links seguros – um recurso encontrado no Microsoft Defender que deveria verificar URLs para detectar links maliciosos. Safe Link substitui o link por um URL diferente usando nomenclatura especial, uma vez que o link é verificado e considerado seguro.
Nesse caso, a ferramenta só tornou mais difícil inspecionar visualmente o “isso é um phishing!” link, e também permitiu que as mensagens passassem mais facilmente pelos filtros de e-mail. A Microsoft não respondeu a um pedido de comentário.
“Safe Links tem várias fraquezas conhecidas e gerar uma falsa sensação de segurança é a fraqueza significativa nesta situação”, diz Benishti. “Os Links Seguros não detectaram nenhum risco ou engano associado ao link original, mas reescreveram o link como se houvesse. Usuários e muitos profissionais de segurança obtêm uma falsa sensação de segurança devido a um controle de segurança em vigor, mas esse controle é amplamente ineficaz .”
Também digno de nota: nos e-mails da United Wholesale Mortgage, a mensagem também foi sinalizada como uma “Notificação de e-mail segura”, incluiu um aviso de confidencialidade e exibiu um banner falso “Protegido por Criptografia Proofpoint”.
Ryan Kalember, vice-presidente executivo de estratégia de segurança cibernética da Proofpoint, disse que sua empresa não é estranha ao seqüestro de marca, acrescentando que o uso falso de seu nome é de fato uma técnica conhecida de ataque cibernético que os produtos da empresa verificam.
É um bom lembrete de que os usuários não podem confiar na marca para determinar a veracidade de uma mensagem, observa ele: “Os agentes de ameaças geralmente fingem ser marcas conhecidas para atrair seus alvos a divulgar informações”, diz ele. “Eles também costumam se passar por fornecedores de segurança conhecidos para adicionar legitimidade a seus e-mails de phishing”.
Até os bandidos cometem erros
Enquanto isso, pode não ser apenas os phishers OG que estão se beneficiando das credenciais roubadas.
Durante a análise da campanha, os pesquisadores identificaram uma URL nos e-mails que não deveria estar lá: um caminho que aponta para um diretório de arquivos de computador. Dentro desse diretório estavam os ganhos ilícitos dos cibercriminosos, ou seja, cada combinação de e-mail e senha enviada a esse site de phishing específico, mantida em um arquivo de texto simples que qualquer pessoa poderia acessar.
“Isso foi totalmente um acidente”, diz Benishti. “O resultado de um trabalho desleixado ou, mais provavelmente, da ignorância, se eles estiverem usando um kit de phishing desenvolvido por outra pessoa – existem muitos disponíveis para compra no mercado negro”.
Os servidores de páginas da Web falsos (e arquivos de texto simples) foram rapidamente encerrados ou removidos, mas, como observou Benishti, é provável que o kit de phishing que os invasores estejam usando seja responsável pela falha de texto simples – o que significa que eles “continuarão a disponibilizar suas credenciais roubadas Para o mundo.”
Credenciais roubadas, mais sofisticação alimentam o Phish Frenzy
A campanha coloca em perspectiva mais amplamente a epidemia de phishing e coleta de credenciais – e o que isso significa para a autenticação daqui para frente, observam os pesquisadores.
Darren Guccione, CEO e cofundador da Keeper Security, diz que o phishing continua a evoluir em termos de nível de sofisticação, o que deve funcionar como um alerta claro para as empresas , dado o elevado nível de risco.
“Os maus atores em todos os níveis estão adaptando golpes de phishing usando táticas baseadas em estética, como modelos de e-mail de aparência realista e sites maliciosos para atrair suas vítimas e, em seguida, assumir sua conta alterando as credenciais, o que impede o acesso pelo proprietário válido”, ele diz ao Dark Reading. “Em um ataque de representação de fornecedor [como este], quando os cibercriminosos usam credenciais roubadas para enviar e-mails de phishing de um endereço de e-mail legítimo, essa tática perigosa é ainda mais convincente porque o e-mail se origina de uma fonte familiar.”
A maioria dos phishes modernos também pode contornar gateways de e-mail seguros e até mesmo falsificar ou subverter fornecedores de autenticação de dois fatores (2FA) , acrescenta Monnia Deng, diretora de marketing de produtos da Bolster, enquanto a engenharia social em geral é extraordinariamente eficaz em tempos de nuvem, mobilidade, e trabalho remoto.
“Quando todos esperam que sua experiência online seja rápida e fácil, o erro humano é inevitável e essas campanhas de phishing estão ficando mais inteligentes”, diz ela. Ela acrescenta que três macrotendências são responsáveis pelo número recorde de ataques relacionados a phishing: serviço de assinatura e a interdependência de plataformas de tecnologia que podem criar um ataque à cadeia de suprimentos a partir de um e-mail de phishing.”
Assim, a realidade é que a Dark Web hospeda grandes caches de nomes de usuário e senhas roubados; dumps de big data não são incomuns e, por sua vez, estimulam não apenas ataques de força bruta e preenchimento de credenciais, mas também esforços adicionais de phishing.
Por exemplo, é possível que os agentes de ameaças tenham usado informações de uma violação recente da First American Financial para comprometer a conta de e-mail usada para enviar os phishes; esse incidente expôs 800 milhões de documentos contendo informações pessoais.
“Violações de dados ou vazamentos têm uma meia-vida mais longa do que as pessoas pensam”, diz Benishti. “A primeira violação financeira americana aconteceu em maio de 2019, mas os dados pessoais expostos podem ser usados como arma anos depois.”
Para frustrar esse mercado movimentado e os aproveitadores que operam nele, é hora de olhar além da senha, acrescenta.
“As senhas exigem complexidade e frequência de rotação cada vez maiores, levando ao esgotamento da segurança”, diz Benishti. “Muitos usuários aceitam o risco de ficarem inseguros com o esforço de criar senhas complexas porque fazer a coisa certa é muito complexo. A autenticação multifator ajuda, mas não é uma solução à prova de balas. É necessária uma mudança fundamental para verificar se você é quem diz ser estão em um mundo digital e têm acesso aos recursos de que precisam.”
Como combater o tsunami de phishing
Com as abordagens generalizadas sem senha ainda distantes, Kalember, da Proofpoint, diz que os princípios básicos de conscientização do usuário são o ponto de partida para combater o phishing.
“As pessoas devem abordar todas as comunicações não solicitadas com cautela, especialmente aquelas que solicitam que o usuário aja, como baixar ou abrir um anexo, clicar em um link ou divulgar credenciais, como informações pessoais ou financeiras”, diz ele.
Além disso, é fundamental que todos aprendam e pratiquem uma boa higiene de senha em todos os serviços que usam, acrescenta Benishti: “E se você for notificado de que suas informações podem estar envolvidas em uma violação, redefina todas as suas senhas para todos os serviços que você usa. Se não, os invasores motivados têm maneiras inteligentes de correlacionar todos os tipos de dados e contas para obter o que desejam.”
Além disso, a Ironscales recomenda testes regulares de simulação de phishing para todos os funcionários e chamou a atenção para um conjunto prático de bandeiras vermelhas para procurar:
- Os usuários podem ter identificado esse ataque de phishing observando atentamente o remetente
- Verifique se o endereço de envio corresponde ao endereço de retorno e se o endereço é de um domínio (URL) que geralmente corresponde à empresa com a qual eles lidam.
- Procure por erros de ortografia e gramática.
- Passe o mouse sobre os links e veja o URL/endereço completo do destino, veja se parece incomum.
- Sempre tenha muito cuidado com sites que solicitam credenciais não associadas a eles, como o login do Microsoft 365 ou do Google Workspace.
FONTE: DARK READING