A Check Point Research descobriu uma recente operação de spear phishing baseada no Irã visando ex-oficiais israelenses, militares e executivos de alto escalão, bolsistas de instituições de pesquisa, think tanks e cidadãos israelenses. Os ataques usaram uma infraestrutura de phishing personalizada, bem como uma ampla variedade de contas de e-mail falsas para personificar assuntos confiáveis. Essas descobertas da CPR chegam em um momento de crescentes tensões entre Israel e Irã, em que ocorreram tentativas anteriores do Irã de atrair alvos israelenses por e-mail.
Os cibercriminosos invadiram as caixas de entrada de e-mails de altos funcionários em Israel e depois usaram esses e-mails para atingir outros funcionários de alto nível para roubar informações pessoais. Os alvos incluíram a ex-ministra de Relações Exteriores de Israel, Tzipi Livni, o ex-embaixador dos EUA em Israel, o ex-major-general das Forças de Defesa de Israel (IDF – Israel Defense Forces) e três outros executivos.
Os atacantes sequestraram as trocas de mensagens existentes e trocaram e-mails por novos, fingindo ser outra pessoa, para enganar suas vítimas e fazer com que conversassem com eles. A CPR acredita que o objetivo da operação é roubar informações pessoais, digitalizar passaportes e acessar contas de e-mail. Para facilitar a operação de spear phishing, os atacantes adotaram um encurtador de URL falso, Litby[.]us, para disfarçar os links de phishing, e também recorreram a um serviço de verificação de identidade legítimo, validation[.]com, para o roubo de documentos de identidade.
A Check Point Research acredita que os cibercriminosos por trás da operação fazem parte de uma entidade apoiada pelo Irã. Evidências apontam para uma possível conexão com o grupo APT Phosphorus, atribuído ao Irã, o qual tem um longo histórico de conduzir operações cibernéticas de alto nível alinhadas com os interesses do regime iraniano, além de visar autoridades israelenses.
O que o usuário deve fazer se suspeitar de um ataque de phishing
O impacto e o custo de um ataque de phishing em uma organização depende da velocidade e exatidão de sua resposta. Se um usuário suspeitar que uma mensagem possa ser um e-mail de phishing, recomenda-se seguir estas etapas:
1.Não responder, nem clicar em links ou abrir anexos: ou seja, nunca faça o que um atacante quer. Se houver um link, anexo ou solicitação de resposta suspeitos, não clicar, abrir ou enviar.
2.Denunciar o e-mail para a equipe de TI ou de segurança da empresa: os ataques de phishing geralmente fazem parte de campanhas distribuídas. Informar o e-mail suspeito recebido à equipe de TI ou de segurança para que os especialistas possam iniciar uma investigação e realizar o controle de danos o mais rápido possível.
3.Excluir o e-mail suspeito: Após denunciar à equipe de TI ou de segurança, deve-se excluir o e-mail suspeito da caixa de entrada. Isso diminuirá a chance de o usuário clicar acidentalmente no e-mail sem perceber e evitará desencadear o phishing.
4.Embora a conscientização sobre as táticas comuns de phishing e o conhecimento das práticas recomendadas antiphishing sejam importantes, os ataques modernos de phishing são sofisticados o suficiente para que alguns sempre passem despercebidos. O treinamento de conscientização sobre phishing deve ser complementado com soluções antiphishing que podem ajudar a detectar e bloquear tentativas de campanhas deste tipo de golpe. A recomendação é por soluções que oferecem visibilidade e proteção em todas as técnicas de phishing por e-mail.