A Microsoft avisou os clientes do Office 365 que eles estão sendo alvos de uma ampla campanha de phishing com o objetivo de capturar nomes de usuário e senhas.
A campanha de phishing em andamento usa vários links; clicar neles resulta em uma série de redirecionamentos que levam as vítimas a um reCAPTCHA página que leva a uma página de login falsa onde as credenciais do Office 365 são roubadas.
ZDNet recomenda
O melhor seguro cibernético
O setor de seguro cibernético provavelmente se tornará o principal e um custo simples para fazer negócios. Aqui estão algumas opções a serem consideradas.
Este ataque específico depende da ferramenta de marketing e vendas por email chamada ‘redirecionamentos abertos‘, que foi abusado no passado para redirecionar um visitante a um destino confiável para um site malicioso. Google não classifica redirecionamentos abertos para URLs do Google como uma vulnerabilidade de segurança, mas mostra um “aviso de redirecionamento” no navegador.
A Microsoft avisa que esse recurso está sendo usado por atacantes de phishing.
“No entanto, os invasores podem abusar de redirecionamentos abertos para vincular a uma URL em um domínio confiável e incorporar a eventual URL mal-intencionada final como um parâmetro. Esse abuso pode impedir que os usuários e as soluções de segurança reconheçam rapidamente uma possível intenção mal-intencionada.” Alerta da Equipe de Inteligência de Ameaças do Microsoft 365 Defender.
O truque desse ataque é baseado no conselho para os usuários passarem o mouse sobre um link em um e-mail para verificar o destino antes de clicar.
“Assim que os destinatários passam o mouse sobre o link ou botão no e-mail, eles veem o URL completo. No entanto, como os atores definem links de redirecionamento abertos por meio de um serviço legítimo, os usuários veem um nome de domínio legítimo que provavelmente está associado a uma empresa. Eles sabem e confiança. Acreditamos que os invasores abusam dessa plataforma aberta e confiável para tentar escapar da detecção enquanto redirecionam as vítimas em potencial para sites de phishing “, avisa a Microsoft.
“Usuários treinados para passar o mouse sobre links e inspecionar artefatos maliciosos em e-mails ainda podem ver um domínio em que confiam e, portanto, clicar nele”, disse ele.
A Microsoft encontrou mais de 350 domínios de phishing exclusivos usados nesta campanha, incluindo domínios de email gratuitos, domínios comprometidos e domínios criados automaticamente pelo algoritmo de geração de domínio do invasor. Os cabeçalhos do assunto do email foram adaptados à ferramenta que o invasor estava falsificando, como um alerta de calendário para uma reunião do Zoom, uma notificação de spam do Office 365 ou um comunicado amplamente utilizado, mas amplamente utilizado. política de expiração de senha desaconselhada.
Embora os redirecionamentos abertos não sejam novidade, a Microsoft abordou o problema depois de perceber uma campanha de phishing em agosto, baseada em URLs falsos da Microsoft.
A verificação do Google reCaptcha aumenta a aparente legitimidade do site, já que geralmente é usada por sites para confirmar que o usuário não é um bot. No entanto, neste caso, o usuário foi redirecionado para uma página que se parece com uma página de login de classe da Microsoft e, por fim, leva a uma página legítima da Sophos, que fornece um serviço para detectar esse tipo de ataque de phishing.
“Se o usuário inserir a senha, a página será atualizada e exibirá uma mensagem de erro informando que o tempo limite da página expirou ou a senha estava incorreta e que ele precisa inserir a senha novamente. Isso provavelmente é feito para que o usuário insira a senha duas vezes, permitindo que os invasores garantam a obtenção da senha correta.
“Assim que o usuário insere sua senha pela segunda vez, a página leva a um site legítimo da Sophos que afirma que o e-mail foi publicado. Isso adiciona outra camada de falsa legitimidade à campanha de phishing.”
Do Google palavra sobre redirecionamentos abertos é que não é uma vulnerabilidade de segurança, embora admita que pode ser usado para acionar outras vulnerabilidades. No entanto, o Google questiona a ideia de que passar o mouse sobre um link em um aplicativo para ver um URL de destino é um conselho útil para o reconhecimento de phishing.
“Redirecionadores abertos levam você de um URL do Google para outro site escolhido por quem criou o link. Alguns membros da comunidade de segurança argumentam que os redirecionadores auxiliam o phishing, porque os usuários podem estar inclinados a confiar nas informações. Em ferramentas nas quais você passa o mouse sobre um link e em seguida, deixe de navegar na barra de endereço depois que a navegação for concluída.
“Nossa opinião sobre isso é que as dicas de ferramentas não são um indicador de segurança confiável e podem ser manipuladas de muitas maneiras, portanto, investimos em tecnologias para detectar e alertar os usuários sobre phishing e abuso, mas geralmente afirmamos que um pequeno número de redirecionadores supervisionados oferece de forma justa benefícios claros e apresentam muito poucos riscos práticos. ”
