Os pesquisadores da Check Point Software revelam que cibercriminosos usaram o Dropbox para criar páginas de login falsas a fim de atrair vítimas para uma página de coleta de credenciais
Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point® Software Technologies Ltd., uma fornecedora líder de soluções de cibersegurança global, não param de identificar novas campanhas de phishing nas quais os cibercriminosos se aproveitam de serviços legítimos e os utilizam para disseminação dos ataques.
“Um ataque crescente envolvendo o Dropbox esteve em circulação. Em setembro, os pesquisadores verificaram 5.550 desses ataques em que os hackers usaram o Dropbox para criar páginas de login falsas que eventualmente levavam a uma página de coleta de credenciais”, aponta Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email. Fuchs informou que ele e a equipe de pesquisadores entraram em contato com o Dropbox para informá-los sobre esta campanha.
O phishing via Dropbox é mais um exemplo de como os atacantes prosseguem utilizando serviços legítimos para ataques BEC 3.0. Os ataques Business Email Compromise 3.0 referem-se ao uso de sites legítimos – como o Dropbox – para enviar e hospedar material de phishing. A legitimidade desses sites torna quase impossível que os serviços de segurança de e-mail parem e que os usuários finais os detectem.
Esses ataques estão aumentando e os cibercriminosos estão usando todos os seus sites de produtividade favoritos: Google, Dropbox, QuickBooks, PayPal e muito mais. “É uma das inovações mais inteligentes que já vimos e, dada a escala desse ataque até agora, é uma das mais populares e eficazes”, diz Fuchs.
A seguir, os pesquisadores da Check Point Software explicam esse ataque, no qual os cibercriminosos adotam engenharia social com um domínio Dropbox, projetado para obter uma resposta do usuário e induzir a entrega de credenciais.
• Vetor de ataque: E-mail
• Tipo: BEC 3.0
• Técnicas: Engenharia Social, Coleta de Credenciais
• Alvo: Qualquer usuário final
Exemplo de e-mail
Este ataque começa com um e-mail vindo diretamente do Dropbox.
Trata-se de um e-mail padrão que qualquer pessoa receberia do Dropbox, notificando que há um documento para visualizar. A partir daí, o usuário é direcionado para uma página legítima do Dropbox:
Embora o conteúdo seja o de uma página semelhante ao OneDrive, a URL está hospedada no Dropbox. Ao clicar em “Obter Documento”, o usuário é direcionado para a página de coleta de credenciais.
Esta é a página hospedada fora do Dropbox e onde os atacantes querem que o usuário clique para roubar suas credenciais.
Técnicas
O Business Email Compromise (BEC) passou por uma evolução bastante rápida. Há apenas alguns anos, falava-se sobre os chamados golpes de “cartões-presente”. Eram e-mails que fingiam vir de um CEO ou executivo, pedindo a um subordinado que comprasse “cartões-presente”. A ideia é que os cibercriminosos usassem os cartões-presente para ganho pessoal. Esses e-mails normalmente vinham de endereços falsificados do Gmail, como CEO[@]gmail[.]com, e não CEO[@]company[.]com.
Também é possível perceber a representação de domínios e parceiros, mas esses eram sempre falsificações, e não reais.
A próxima evolução veio de contas comprometidas. Pode ser um usuário interno comprometido, como alguém do setor financeiro, ou até mesmo um usuário parceiro comprometido. Esses ataques são ainda mais complicados porque vêm de um endereço legítimo. Mas o usuário pode ver um link para uma página de login falsa do Office 365 ou uma linguagem artificial que o NLP — processamento de linguagem natural em português — pode entender.
Atualmente, o que se vê é o BEC 3.0, que são ataques de serviços legítimos. O NLP é inútil neste caso, pois a linguagem vem diretamente de serviços legítimos e nada está errado. A verificação de URL também não funcionará, pois direcionará o usuário para um Dropbox legítimo ou outro site.
Esses ataques são difíceis de serem impedidos e identificados, tanto para os serviços de segurança quanto pelos usuários finais. Por isso, começar pela educação é fundamental. Os usuários finais precisam se perguntar: conheço essa pessoa que está me enviando um documento? E mesmo se o usuário clicar no documento, a próxima coisa a perguntar: uma página do OneDrive em um documento do Dropbox faz sentido? Fazer essas perguntas pode ajudar, assim como passar o mouse sobre a URL na própria página do Dropbox.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os profissionais de segurança precisam:
● Implementar segurança que usa IA para analisar vários indicadores de phishing;
● Implementar segurança completa que também pode digitalizar documentos e arquivos;
● Implementar proteção de URL robusta que verifica e emula páginas da web.
