Dropbox é usado para roubo de credenciais via phishing

Da Redação
19/10/2023

Um ataque envolvendo o Dropbox esteve em circulação em setembro. Pesquisadores da Check Point Research (CPR) verificaram 5.550 desses ataques em que os hackers usaram o  serviço de hospedagem de arquivos para criar páginas de login falsas que eventualmente levavam a uma página de coleta de credenciais. 

O phishing via Dropbox é mais um exemplo de como cibercriminosos continuam utilizando serviços legítimos para ataques de comprometimento de e-mail comercial (BEC). “Os ataques BEC 3.0 referem-se ao uso de sites legítimos, como o Dropbox, para enviar e hospedar material de phishing. A legitimidade desses sites torna quase impossível que os serviços de segurança de e-mail parem e que os usuários finais os detectem”, explica Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.

Segundo ele, esses ataques estão aumentando e os cibercriminosos estão usando todos os seus sites de produtividade favoritos: Google, Dropbox, QuickBooks, PayPal e muito mais. “É uma das inovações mais inteligentes que já vimos e, dada a escala desse ataque até agora, é uma das mais populares e eficazes”, diz.

A seguir, os pesquisadores da Check Point Software explicam esse ataque, no qual os cibercriminosos adotam engenharia social com um domínio Dropbox, projetado para obter uma resposta do usuário e induzir a entrega de credenciais.

• Vetor de ataque: E-mail

• Tipo: BEC 3.0

• Técnicas: Engenharia Social, Coleta de Credenciais

• Alvo: Qualquer usuário final

Exemplo de e-mail

Este ataque começa com um e-mail vindo diretamente do Dropbox.

Trata-se de um e-mail padrão que qualquer pessoa receberia do Dropbox, notificando que há um documento para visualizar. A partir daí, o usuário é direcionado para uma página legítima do Dropbox:

Embora o conteúdo seja o de uma página semelhante ao OneDrive, a URL está hospedada no Dropbox. Ao clicar em “Obter Documento”, o usuário é direcionado para a página de coleta de credenciais.

Esta é a página hospedada fora do Dropbox e onde os atacantes querem que o usuário clique para roubar suas credenciais.

Veja isso
Hackers acessam 130 repositórios de código-fonte do Dropbox
Contas do Dropbox e Google Drive podem estar vulneráveis

O comprometimento de e-mail comercial passou por uma evolução bastante rápida. Há apenas alguns anos, falava-se sobre os chamados golpes de “cartões-presente”. Eram e-mails que fingiam vir de um CEO ou executivo, pedindo a um subordinado que comprasse “cartões-presente”. A ideia é que os cibercriminosos usassem os cartões-presente para ganho pessoal. Esses e-mails normalmente vinham de endereços falsificados do Gmail, como CEO[@]gmail[.]com, e não CEO[@]company[.]com.

Também é possível perceber a representação de domínios e parceiros, mas esses eram sempre falsificações, e não reais.

A próxima evolução veio de contas comprometidas. Pode ser um usuário interno comprometido, como alguém do setor financeiro, ou até mesmo um usuário parceiro comprometido. Esses ataques são ainda mais complicados porque vêm de um endereço legítimo. Mas o usuário pode ver um link para uma página de login falsa do Office 365 ou uma linguagem artificial que o NLP (processamento de linguagem natural em português) pode entender.

Atualmente, o que se vê é o BEC 3.0, que são ataques de serviços legítimos. O NLP é inútil neste caso, pois a linguagem vem diretamente de serviços legítimos e nada está errado. A verificação de URL (endereço web) também não funcionará, pois direcionará o usuário para um Dropbox legítimo ou outro site.

Esses ataques são difíceis de serem impedidos e identificados, tanto para os serviços de segurança quanto pelos usuários finais. Por isso, começar pela educação é fundamental. Os usuários finais precisam se perguntar: conheço essa pessoa que está me enviando um documento? E mesmo se o usuário clicar no documento, a próxima coisa a perguntar: uma página do OneDrive em um documento do Dropbox faz sentido? Fazer essas perguntas pode ajudar, assim como passar o mouse sobre o URL na própria página do Dropbox.

Compartilhar: