malware-phishing.jpg

Phishing falsifica mensagens do Microsoft Teams

Da Redação
04/05/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Hackers buscam obter credenciais do Office 365 de funcionários que estão trabalhando em casa em razão da pandemia de covid-19

Uma campanha de phishing recentemente descoberta está falsificando notificações da plataforma de colaboração do Microsoft Teams para coletar credenciais do Office 365 de funcionários que estão trabalhando em casa devido à pandemia de covid-19, de acordo com uma pesquisa da empresa de segurança Abnormal Security.

Acredita-se que essa campanha tenha como alvo entre 15 mil e 50 mil equipes e usuários do Office 365, de acordo com o relatório divulgado na sexta-feira, 1º. Não está claro se os ataques foram bem-sucedidos ou se esta campanha ainda está em andamento.

Veja isso
Preço de kits de phishing do mercado ilegal sobe 149% em 2019
Zoom é usado em domínios falsos para ataques de phishing

As plataformas de vídeo e colaboração baseadas na nuvem, como o Microsoft Teams e o Zoom, explodiram em uso nos últimos dois meses devido a pandemia ter forçando muitos funcionários a trabalhar em home office. Por exemplo, a Microsoft viu o número de usuários diários ativos de equipes saltar de 44 milhões no final de março para 75 milhões no final de abril.

Ao mesmo tempo, essas plataformas e serviços baseados na nuvem estão sendo explorados por fraudadores, usando imagens e mensagens clonadas de empresas legítimas para e-mails de phishing e domínios maliciosos, de acordo com pesquisadores de segurança.

Tipos de ataques

Na campanha de phishing descoberta pela Anormal Security, os fraudadores criaram mensagens com aparência realista que imitavam e-mails de notificação automatizados do Microsoft Teams. Esses e-mails de phishing tentaram atrair as vítimas para as páginas de entrada falsificadas que usam imagens e linguagem clonadas obtidas diretamente dos sites oficiais da Microsoft, Teams e Office 365, para dar a esses domínios uma aparência realista.

Os atacantes também enviaram mensagens de domínios que pareciam legítimos. Em um caso, os e-mails de phishing vieram de um domínio registrado recentemente chamado “sharepointonline-irs.com”, que não está associado à Microsoft, de acordo com o relatório. Os fraudadores usaram ainda vários redirecionamentos de URL para ajudar a desviar das ferramentas de segurança, observa o relatório.

Esta campanha usou dois ataques para atingir as vítimas. Em um ataque, os fraudadores usaram e-mails de phishing que continham um link para um documento que parecia vir de um provedor estabelecido de marketing por e-mail. Se o usuário clicou no documento, uma imagem do Microsoft Teams apareceu e instou a vítima a fazer login em sua conta.

Essa imagem falsificada do Teams continha outro URL que levaria a vítima em potencial a um domínio mal-intencionado que parecia uma página de entrada do Office 365 e pedia ao usuário para inserir suas credenciais. Se os usuários fornecerem um nome de usuário e uma senha, eles serão coletados pelos atacantes.

No segundo ataque, os e-mails de phishing continham links que redirecionam a vítima para uma página do YouTube. Após vários redirecionamentos, a vítima é enviada para uma página de login falsa do Office 365 e solicitada a inserir suas credenciais, que são coletadas pelos fraudadores. “Se o destinatário for vítima desse ataque, as credenciais desse usuário serão comprometidas”, observam os pesquisadores da Abnormal Security. “Além disso, como o Microsoft Teams está vinculado ao Microsoft Office 365, o invasor pode ter acesso a outras informações disponíveis com as credenciais da Microsoft do usuário via logon único.”

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest