As tentativas de phishing visando vítimas no Oriente Médio aumentaram 100% no mês passado antes da Copa do Mundo no Catar, de acordo com a empresa de segurança Trellix. Assim, esses e-mails de phishing da Copa do Mundo aumentam nos países do Oriente Médio.
Seus pesquisadores documentaram um pico nesses ataques baseados em e-mail entre setembro e outubro, quando o volume de e-mails maliciosos dobrou. Os malfeitores usaram FIFA e outras iscas relacionadas ao futebol como o vetor de ataque inicial, e os pesquisadores de segurança detalharam várias amostras de e-mail que encontraram na natureza.
Em um deles, o e-mail supostamente era do helpdesk do sistema de correspondência de transferências (TMS) da FIFA e incluía um alerta falso de que a autenticação de dois fatores do usuário havia sido desativada. Em seguida, ele direcionou o usuário para um site controlado por invasores, que permite que os criminosos roubem as credenciais dos usuários.
Outro e-mail fraudulento se fazia passar por David Firisua, o gerente de equipe do Auckland City FC, e solicitava a confirmação de um pagamento da FIFA, enquanto outro phishing se fazia passar pela bilheteria da FIFA e tentava induzir a vítima a “resolver com urgência” um problema de pagamento clicando em um anexo HTML malicioso.
Phishing usa Copa do Mundo para afetar países do Oriente Médio
A rede de phishing da Trellix também capturou e-mails falsificando Snoonu, o parceiro oficial de entrega de comida da Copa do Mundo, que oferecia ingressos falsos para partidas gratuitas e continha um anexo xlsm malicioso.
“É uma prática comum para os invasores utilizarem os eventos importantes/populares como parte das táticas de engenharia social e visam principalmente as organizações relacionadas a eventos e vítimas mais promissoras para o ataque”, alertaram os pesquisadores.
Trellix também destacou as páginas de phishing com tema da Copa do Mundo que se parecem com as páginas legítimas da FIFA que eles falsificam e alertou que os malfeitores estão usando “vários kits de phishing em que o URL da postagem é ofuscado, codificado em Base64 ou presente na solicitação ajax em vez de tags de ação de formulário .”
Além disso, as cinco principais famílias de malware usadas para atingir os países do Oriente Médio são Qakbot (40%), Emotet (26%), Formbook (26%), Remcos (4%) e QuadAgent (4%), de acordo com os pesquisadores de segurança.
E em um documento separado [PDF], a Trellix listou URLs, binários e endereços de e-mail maliciosos usados nessas recentes campanhas com tema da Copa do Mundo.
Trellix espera que esses ataques de phishing continuem até janeiro de 2023 e observou que as organizações diretamente relacionadas ao torneio de futebol devem permanecer “extra-vigilantes”.
Phished, bisbilhotado ou preso?
Os quase 3 milhões de pessoas que compraram ingressos para assistir a uma partida no Catar têm todo um outro conjunto de ameaças à segurança cibernética com que se preocupar quando estiverem no país – além de uma ladainha ou preocupações morais e éticas relacionadas à presença no Mundial em um país com histórico horrível de direitos humanos que construiu seus estádios usando trabalhadores migrantes cujo tratamento foi descrito como “escravidão moderna“.
Dois aplicativos da Copa do Mundo estão sobvigilância de pesquisadores de segurança e agências de proteção de dados de vários países, que rotularam os aplicativos de spyware e encorajaram as visitas a usar telefones descartáveis.
Os dois aplicativos são Ehteraz, um rastreador Covid-19 do Ministério da Saúde Pública do Catar, e Hayya, do Comitê Supremo de Entrega e Legado do governo, que supervisiona a Copa localmente, o que permite aos portadores de ingressos entrar nos estádios e ter acesso gratuito ao metrô e ônibus e serviços de transporte.
Tudo isso faz com que assistir aos jogos do conforto do seu sofá, onde você pode beber uma cerveja e beijar quem bem entender sem medo de ser preso, soe cada vez mais atraente.