Nova campanha de phishing usa página incorporada para roubar credenciais

Campanhas de phishing por e-mail cresceram 440% em todo o mundo após Black Friday
phishing

Pesquisadores descobriram uma nova campanha de phishing que usa uma página incorporada para roubar credenciais. Assim, esta é uma campanha diferente das demais.

O e-mail usado nesta campanha contém o texto de phishing tradicional com aviso de pagamento. Mas, como ele é diferente?

Como um phishing que usa página incorporada é diferente?

Essa campanha de phishing de credenciais recém-detectada não redireciona as vítimas para outro site para elas fazerem o login, como costumam fazer muitas das campanhas de phishing. Em vez disso, ela agrupa a página de destino onde está o golpe no anexo HTML para impedir que os usuários suspeitem.

Os golpes de phishing geralmente podem ser detectados por causa de links e páginas de destino suspeitos. Esse golpe evita tudo isso e escolhe uma página da web incorporada que rouba credenciais.

Ao fazer isso, os agentes maliciosos por trás da campanha estão reduzindo as chances de a página de destino ser descoberta e removida posteriormente.

O anexo possui todos os arquivos e bibliotecas necessários para a coleta de credenciais e depende apenas de um servidor remoto para coletar as informações roubadas.

Nova campanha de phishing usa página incorporada para roubar credenciais
Quando a vítima, inadvertidamente, insere credenciais, o script malicioso colhe as informações e, em seguida, redireciona para um site remoto com uma fatura de pagamento falsa. Imagem: blickpixel via Pixabay.

Jan Kopriva, do programa Internet Storm Center, diz:

Quando os anexos HTML são usados em um phishing que rouba credenciais, o código HTML geralmente redireciona o navegador para uma página de login falsa ou carrega diretamente a página de login falsa de uma fonte na internet. Essa página HTML acabou não sendo nenhuma delas.

Como funciona?

Quando a vítima abre o anexo no e-mail, um formulário de logon do Microsoft Docs é renderizado diretamente no navegador. Assim, o formulário fornece várias opções para efetuar login, incluindo Gmail, Yahoo e Office 365, entre outras.

Quando a vítima, inadvertidamente, insere credenciais, o script malicioso colhe as informações e, em seguida, redireciona para um site remoto com uma fatura de pagamento falsa.

Agora, mesmo que a vítima perceba que esta é uma página de phishing, isso não faz diferença porque as credenciais já foram coletadas.

Embora essa não seja a primeira campanha de phishing a usar a técnica de página incorporada, os especialistas em segurança dizem que essa é uma das poucas que contém um anexo HTML tão complexo.

Fonte: Cyware

Leia também:

E-mails de phishing ainda conseguem fazer vítimas