Investigadores explicam que os hackers utilizam emails para enviar endereços de páginas falsas, utilizando, por exemplo, emails de recuperação de password para enganar os utilizadores, levando-os a pensar que estão no website da plataforma
A Check Point lançou um alerta para “uma das mais criativas” formas de roubo de credenciais de acesso que utiliza landing pages iguais à original, para conseguir obter dados pessoais, enganando não só os sistemas de segurança, mas também os utilizadores finais. Os investigadores da Avanan afirmam que os hackers utilizam emails para enviar endereços de páginas falsas, utilizando, por exemplo, emails de recuperação de password para enganar os utilizadores, fazendo-os pensar que estão, efetivamente, no website da plataforma. Por fim, são apresentados com a plataforma da empresa, página igual à real, com a exceção do endereço URL, que não tem relação com a empresa pelo qual se está a fazer-se passar. Aqui, o utilizador coloca as suas credenciais, entregando os seus dados por fim aos hackers. Os investigadores da Avanan referem em artigos anteriores um grupo chamado SPAM-EGY, que é um serviço criado para conduzir estes ataques, oferecendo, por um lado, a capacidade de chegar à caixa de entrada usando métodos de ofuscação em constante mudança. Num segundo ponto, os peritos afirmam que permite o redireccionamento para uma página de phishing que parece ser a segunda página do início de sessão do Microsoft Office 365 com um endereço de e-mail pré-preenchido e oferece uma página de destino dinamicamente renderizada que altera o logótipo e o fundo para corresponder ao domínio do endereço de correio eletrónico. A página de destino solicitará o email duas vezes como validação ou, opcionalmente, tentará utilizar as credenciais em tempo real a fim de verificar a senha. Se a password for boa, o utilizador será direcionado para um documento real ou para a página inicial do Office.com. Uma vez que o utilizador tenha introduzido as suas credenciais, um cookie no browser tornará a página de phishing 'inalcançável', frustrando qualquer análise posterior. Apesar de ter semelhanças com outros tipos de ataque, este ataque difere na utilização de domínios da google e do reCAPTCHA, dando uma forma de aumentar a legitimidade tanto nos programas de defesa como nas vítimas, afirma a Check Point. |