Mais uma vez, os atacantes utilizam serviços gratuitos legítimos para ataques de roubo de credenciais via phishing. Agora foi a vez da Genially, ferramenta online para criação de conteúdos interativos e animados para os ataques! Os pesquisadores da Check Point Software destacam como os cibercriminosos seguem com suas campanhas de phishing usando tais serviços legítimos para inserir links maliciosos para roubarem dados e credenciais.
Os hackers adoram se aproveitar de sites gratuitos para enviar campanhas de phishing. Tal ação tem sido cada vez mais percebida ao longo do último ano, sejam em sites populares, como o Google e PayPal, ou sites menos conhecidos. Se o portal for gratuito, significa que os atacantes podem tentar quantas vezes quiserem, sem qualquer desvantagem.
Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, abordam a seguir como os hackers utilizaram a ferramenta online para criação de conteúdos interativos e animados, a Genially, para enviar links de phishing.
Genially é usada para roubo de credenciais via phishing
A utilização de serviços legítimos e gratuitos tem sido o tema principal dos ataques vistos neste ano. Esses ataques são conhecidos pelo nome de Business Email Compromise (BEC) 3.0, a próxima evolução dos perigosos ataques BEC. Eles usam sites legítimos para realizar tarefas ilegítimas e é incrivelmente difícil de serem parados porque os próprios e-mails são genuínos.
“Os ataques cibernéticos estão cada vez mais comuns e os usuários precisam ficar atentos para não terem seus dados ‘roubados’. Não clicar em links estranhos recebidos no e-mail é um dos passos para não cair em golpes”, aponta Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.
A seguir, os pesquisadores da Check Point Software detalham esse ataque:
- Vetor de ataque: E-mail
- Tipo: BEC 3.0
- Técnicas: Engenharia social, recolha de credenciais
- Alvo: Todo usuário final
Exemplo de e-mail
O Genially é um site em que qualquer pessoa pode criar conteúdos interativos. A ideia é transformar qualquer coisa em algo mais agradável de ser visto e experimentar.
Quando alguém cria algo no Genially e quer compartilhá-lo, o destinatário recebe um e-mail que o convida clicar em um link.
Neste caso, os atacantes criam documentos no Genially que se ligam ao material malicioso, como pode ser visto no exemplo abaixo:
Este é um e-mail padrão que se recebe quando alguém envia um conteúdo do site Genially. Ele é legítimo, parte diretamente do site e o link redireciona o usuário para a criação. No entanto, apenas ao clicar na imagem do site, o usuário é levado pelo hiperlink para uma página maliciosa.
Técnicas
O Business Email Compromise (BEC) passou por uma evolução bastante rápida. A utilização de serviços legítimos para enviar ataques tem sido uma forma de ataque dominante em 2023 e provavelmente continuará sendo em 2024.
Isso se deve ao fato de ser fácil para implementar, mesmo para quem possua pouca ou nenhuma experiência de codificação. Tudo o que é realmente necessário é o acesso a um link malicioso e uma forma de receber a informação. Por fim, ainda é grátis, pois a criação de uma conta não requer um cartão de crédito ou qualquer outra forma de pagamento, além de poder criar quantas contas desejar.
Esses ataques são muito difíceis de serem identificados pelas soluções de segurança. Não existem indicadores maliciosos reais, pois se trata de um serviço legítimo. A linguagem do e-mail não é suspeita.
Sem uma verdadeira proteção, a melhor recomendação é que os usuários estejam atentos e ignorem ou não cliquem no primeiro link do site, neste caso, o Genially.
Por outro lado, a proteção de links e a reescrita de URLs desempenham um papel importante neste contexto. Emular as páginas por trás dos hiperlinks para ver a verdadeira intenção é uma obrigação. Isto protege os usuários mesmo que cliquem no link malicioso do Genially, porque esse pode ser emulado e determinado se é perigoso ou não. Outra opção é analisar os sites em busca de indicadores de phishing de dia zero ou implementar uma política que bloqueie a reutilização de senhas corporativas.
Esta forma de ataque continuará aumentando em 2024, e os hackers encontrarão uma miríade de novos sites do tipo SaaS para usar em seus ataques.
Os pesquisadores da Check Point Software informaram à Genially a respeito desta campanha no último dia 4 de dezembro.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os profissionais de segurança precisam:
- Implementar segurança que usa IA para analisar vários indicadores de phishing;
- Implementar segurança completa que também pode digitalizar documentos e arquivos;
- Implementar proteção de URL robusta que verifica e emula páginas da web.