A venda de e-mails parece um negócio rentável para os cibercriminosos. Eles parecem bem engajados e, agora, por exemplo, estão vendendo contas de e-mail corporativos roubados por apenas US$ 2 (cerca de R$ 10,40) para atender a uma demanda crescente de hackers que os usam para comprometer e-mails comerciais e ataques de phishing ou acesso inicial a redes.
De acordo com o Bleeping Computer, analistas da empresa israelense de inteligência cibernética KELA seguiram de perto essa tendência, relatando pelo menos 225.000 contas de e-mail à venda em mercados clandestinos. As maiores lojas de webmail são Xleet e Lufix, alegando oferecer acesso a mais de 100 mil contas de e-mail corporativo violadas, com preços variando entre US$ 2 e US$ 30 (cerca de R$ 156,00) , se não mais, para organizações altamente desejáveis.
Normalmente, essas contas foram roubadas por meio de quebra de senha (força bruta) ou preenchimento de credenciais, tiveram suas credenciais roubadas por meio de phishing ou foram compradas de outros cibercriminosos.
Os hackers usam seu acesso a contas de e-mail corporativo em ataques direcionados, como comprometimento de e-mail comercial (BEC), engenharia social, spear-phishing e infiltração de rede mais profunda.
Venda de contas e-mails corporativos
As vendas de acesso a e-mail corporativo permaneceram estáveis ??no espaço do crime cibernético nos últimos dois anos, com agentes de ameaças em todos os principais fóruns de hackers vendendo “listas combinadas” de e-mail para acessar várias empresas. Em um caso recente de alto nível, o agente de ransomware ‘Everest’ ofereceu suposto acesso a contas de e-mail de uma empresa de manufatura aeroespacial por US$ 15.000 (cerca de R$ 78 mil).
As ofertas em massa e com curadoria envolvem o tedioso processo de negociação com o vendedor e o risco da validade das reivindicações. Ao mesmo tempo, a demanda por e-mails corporativos continua crescendo. Isso criou a necessidade de lojas automatizadas de webmail como Xleet, Odin, Xmina e Lufix, que permitem que os cibercriminosos comprem facilmente o acesso às contas de e-mail de sua escolha.
“Muitas dessas lojas oferecem funções avançadas, como “provas” de que o acesso ao webmail realmente funciona”, explica KELA no relatório. “Essas provas incluem a realização de uma verificação ao vivo no e-mail para verificar o acesso ou mostrar uma captura de tela da caixa de entrada da conta comprometida”.
As ofertas mais atraentes são as contas do Office 365, que respondem por quase metade de todos os webmails listados, seguidas por provedores de hospedagem como cPanel, GoDaddy e Ionos.
Os vendedores nessas lojas não usam pseudônimos, mas se escondem atrás de um sistema de mascaramento que lhes atribui números. Odin oferece mais detalhes sobre os vendedores, como o número de itens vendidos, números totais de vendas e avaliações de usuários.
Odin e Xleet também esclarecem como os webmails foram originados, com as categorias incluindo “hackeado”, “craqueado”, “logs”ou “criado”. No entanto, a maioria (98%) no Xleet foi “hackeada” ou “crackeada”.
Como a maioria dos webmails oferecidos é quebrada ou hackeada, usar senhas fortes (mais longas) e treinar pessoal para identificar e-mails de phishing ajudaria a reduzir significativamente essas ameaças.