Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software Technologies Ltd., continuam identificando novas campanhas de phishing nas quais os cibercriminosos se aproveitam de serviços legítimos e os utilizam para disseminação. A razão para isto é por ser fácil para os hackers criarem uma conta, muitas vezes gratuita, em vários sites.
“Os cibercriminosos contam com inúmeras ferramentas à sua disposição para realizar esses ataques, de modo a criarem contas gratuitas com esses serviços legítimos e enviá-las para vários alvos, incorporando um link de phishing em um documento legítimo e enviá-lo por e-mail diretamente do serviço”, relata Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.
Isso tem sido verificado pelos especialistas com Google, QuickBooks, PayPal, SharePoint, entre outros. “Agora, estamos vendo outra ferramenta legítima usada para esses propósitos—AWS. A partir dos serviços da ferramenta é enviado um e-mail – uma fatura, um documento. O e-mail vem diretamente do serviço e é encaminhado para a caixa de entrada, passando por todas as verificações típicas. Isto é fácil para os hackers fazerem, e difícil para os serviços de segurança detectarem e para os usuários finais perceberem”, alerta Fuchs.
Ataque
Neste tipo de ataque, os cibercriminosos estão utilizando sites hospedados no Amazon Web Services (AWS) S3 Buckets para enviar links de phishing.
• Vetor: E-mail
• Tipo: BEC 3.0
• Técnicas: Engenharia Social, Coleta de Credenciais
• Alvo: Qualquer usuário final
Exemplo de e-mail
O ataque começa com um e-mail de phishing de aparência padrão, solicitando a redefinição de senha. Para muitos usuários, esse e-mail pode ser suficiente para interromper o engajamento. Os serviços de segurança podem detectá-lo, dada a discrepância no endereço do remetente. Mas, o link no endereço vai para um bucket S3 da AWS (contêiner para armazenamento), que é legítimo.
Os pesquisadores informam o que deve ser observado no e-mail e seu conteúdo. Primeiro é a URL: é um bucket S3, um site legítimo da AWS. Qualquer pessoa pode hospedar um site — estático ou dinâmico — na AWS. Requer um pouco mais de habilidades de codificação que alguns dos outros ataques BEC 3.0, mas não é um grande aumento.
Um segundo ponto é que os hackers recriam uma página de login da Microsoft. Além disso, o endereço de e-mail já está preenchido – o usuário só precisa digitar a senha. O usuário também notará na barra de URL que há uma parte borrada. É para lá que vai o endereço de e-mail da vítima, fazendo parecer que ela já está conectada.
Técnicas
Ao contrário de alguns dos ataques BEC 3.0 que os pesquisadores da Check Point Software registraram, esse ataque requer um pouco mais de habilidades técnicas do atacante. Dito isso, ainda é básico o suficiente para um cibercriminoso médio executar.
Os atacantes estão buscando credenciais. Depois de obtê-las, os cibercriminosos têm as “chaves do reino”. Nesse ataque de phishing via AWS, eles estão usando um bucket S3 para hospedar uma página da web que redirecionará as credenciais de volta para eles.
“É bastante convincente; seguem uma prática com a qual a maioria dos usuários está familiarizada que é a simples tarefa de redefinir uma senha. O atacante fornece uma página de login semelhante à da Microsoft, e o e-mail já está preenchido. Um truque dos hackers para dar legitimidade. Os usuários finais podem identificar esse ataque observando a URL, mas sabemos que nem sempre é assim. É muito mais fácil apenas digitar sua senha e redefinir”, explica Fuchs.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os profissionais de segurança precisam:
● Implementar segurança que usa IA para analisar vários indicadores de phishing;
● Implementar segurança completa que também pode digitalizar documentos e arquivos;
● Implementar proteção de URL robusta que verifica e emula páginas da web.
