A Check Point Software identificou 200 mil e-mails de phishing com URLs manipuladas. O golpe foi observado pela primeira vez em 21 de janeiro deste ano e continua em curso, embora o volume diário de ameaças esteja diminuindo. Geograficamente, 75% desses e-mails foram distribuídos nos Estados Unidos, 5% no Canadá e 17% foram na região de EMEA.
Os cibercriminosos buscam comprometer o maior número possível de pessoas e empresas, sem direcionar a setores específicos, tornando a campanha ainda mais complexa para ser identificada. Devido à sofisticação da campanha, em que os mecanismos utilizados são bastante aprimorados, mesmo com treinamentos de conscientização sobre segurança, um excesso de usuários não conseguirá identificar o perigo, colocando em risco suas credenciais e, por extensão, a segurança das empresas que não possuem uma solução avançada de segurança para e-mails.
Esses cibercriminosos empregam técnicas avançadas de manipulação de URLs em e-mails de phishing tradicionais, como faturas falsas, ingressos, recibos de pagamento, avisos de renovação ou ativação de contas. Seu principal método de engano explora a parte “userinfo” dos endereços web: o segmento entre “http[:]//” e o símbolo “@” (por exemplo, https://username:password[@]example[.]com). Como a maioria dos sites não leva em conta esse campo, os atacantes podem inserir informações enganosas antes do símbolo “@” para disfarçar links maliciosos.
Para melhorar ainda mais as falsas mensagens, os atacantes podem empregar várias técnicas combinadas, incluindo codificação de URL com caracteres especiais; uso de redirecionamentos aparentemente legítimos; localização da URL maliciosa imediatamente após o símbolo “@”; e codificação de endereços de e-mail das vítimas para preencher automaticamente formulários de login falsos.
O objetivo final dessa técnica é redirecionar a vítima para uma página de phishing do Microsoft 365, projetada meticulosamente com a implementação de CAPTCHA para gerar uma falsa sensação de segurança e confiança. Esse equilíbrio entre engano técnico e manipulação psicológica demonstra porque a formação tradicional sobre inspeção de URLs está se tornando insuficiente diante das campanhas de phishing modernas.
Para mitigar essas ameaças, as empresas devem atualizar as regras de redirecionamento, aplicando regras rigorosas sobre os destinos permitidos, e corrigir os sistemas internos periodicamente. Isso inclui clientes de e-mail e navegadores web, atualizando-os com os últimos patches de Segurança. Dessa forma, evita-se que os cibercriminosos explorem vulnerabilidades por meio das quais possam executar ataques de phishing.
Dado que essas técnicas evoluem constantemente, as regras estáticas não são suficientes para uma proteção completa. No entanto, sistemas baseados em aprendizado de máquina podem identificar padrões emergentes e oferecer melhores defesas.
“A medida que as técnicas de phishing se tornam mais sofisticadas, as empresas devem migrar de controles de segurança dependentes do usuário para sistemas de prevenção automatizados impulsionados por IA e ML”, explica Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
