Novo golpe de phishing utiliza Google Drawings e links encurtados do WhatsApp
Pesquisadores de segurança cibernética descobriram uma nova campanha de phishing que usa o Google Drawings e links encurtados gerados via WhatsApp para evitar a detecção e enganar os usuários, desta forma induzindo-os a clicar em links fraudulentos projetados para roubar informações confidenciais.
Detalhes da ameaça
De acordo com o pesquisador Ashwin Vamshi, da Menlo Security, os atacantes usaram um conjunto de sites amplamente conhecidos para montar o golpe, incluindo Google e WhatsApp para hospedar os elementos do ataque e uma página falsa que imita a da Amazon para coletar os dados das vítimas. Vamshi classifica o golpe como uma ameaça baseada em “Living Off Trusted Sites” (LoTS), ou seja ataques que exploram sites legítimos para ganhar a confiança dos usuários.
O ponto de partida do ataque é um e-mail de phishing que direciona os destinatários para uma imagem que aparenta ser um link de verificação de conta da Amazon. Essa imagem, por sua vez está hospedada no Google Drawings, sendo uma tentativa clara de evadir a detecção por softwares de segurança.
O uso de serviços legítimos tem vantagens óbvias para os atacantes, além de ser uma solução de baixo custo, oferece um meio dissimulado de comunicação dentro das redes, pois esses sites confiáveis são menos propensos a serem bloqueados por produtos de segurança ou firewalls.
Como funciona o golpe
O ataque começa com um e-mail de phishing que parece legítimo, geralmente disfarçado como uma notificação da Amazon. O e-mail contém uma imagem que simula um link de verificação de conta. Quando o usuário clica é levado para uma página falsa da Amazon, onde será solicitado a inserir seus dados pessoais, como nome de usuário, senha e informações do cartão de crédito.
O truque aqui é que a imagem é hospedada no Google Drawings. Vamshi explica que essa plataforma é atraente para os atacantes porque permite que eles incluam links nas imagens que muitas vezes passam despercebidos pelos usuários, especialmente se houver um senso de urgência associado, como uma ameaça de encerramento de conta.
O golpe também utiliza dois encurtadores de URL em sequência, primeiro um link encurtado do WhatsApp (l.wl[.]co), seguido por outro encurtador (qrco[.]de). Essa dupla camuflagem dificulta que os mecanismos de detecção de phishing identifiquem o link como uma ameaça, criando uma camada adicional de ofuscação.
Riscos e consequências
Os usuários que clicam no link e inserem suas credenciais na página falsa acabam enviando essas informações diretamente para os cibercriminosos. Após a coleta dos dados as vítimas são redirecionadas para a página verdadeira da Amazon, o que pode enganar os menos atentos, fazendo-os acreditar que houve algum erro de login.
Além disso, para evitar que o golpe seja descoberto ou repetido pela mesma pessoa, a página falsa se torna inacessível a partir do mesmo endereço IP uma vez que as credenciais são inseridas e validadas, o que complica a detecção por parte dos usuários ou investigadores de segurança.
Vulnerabilidade do Microsoft 365
Em paralelo a este ataque, pesquisadores identificaram uma vulnerabilidade nos mecanismos anti-phishing do Microsoft 365. A falha permite que os atacantes ocultem a dica de segurança de “Primeiro Contato” (First Contact Safety Tip), que alerta os usuários quando recebem e-mails de um endereço desconhecido.
Usando truques com CSS, os atacantes conseguem esconder essa mensagem de aviso nas configurações de estilo de um e-mail em HTML, aumentando as chances de que o usuário abra o e-mail malicioso sem perceber o risco. Além disso, os criminosos podem até falsificar os ícones que o Microsoft Outlook adiciona a e-mails que são criptografados ou assinados, o que torna o ataque ainda mais convincente.
Conclusão e recomendações
Este golpe de phishing destaca a crescente sofisticação das técnicas usadas por cibercriminosos, que aproveitam a confiança em plataformas legítimas para enganar os usuários. Para se proteger de ataques como esse é essencial seguir algumas práticas recomendadas:
- Desconfie de e-mails que exigem ações urgentes: especialmente aqueles que pedem verificação de contas ou informações financeiras.
- Verifique os links antes de clicar: passe o cursor sobre o link para ver o endereço completo e verificar se é de um site confiável.
- Evite clicar em links de remetentes desconhecidos: mesmo que pareçam vir de empresas legítimas como a Amazon.
- Mantenha seus sistemas de segurança atualizados: incluindo firewalls e software antivírus, para garantir que as ameaças mais recentes sejam detectadas.
Com a crescente sofisticação dos ataques de phishing, a conscientização do usuário continua sendo uma das melhores defesas contra esses golpes.
Fonte: https://thehackernews.com/2024/08/new-phishing-scam-uses-google-drawings.html
