Cibercriminosos criaram um novo ataque que falsifica o QuickBooks, pacote de software de contabilidade voltado a pequenas e médias empresas (PMEs) e contadores, segundo pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software. Eles identificaram novos ataques de phishing originados diretamente do software desenvolvido e comercializado pela Intuit.
Ainda de acordo com os pesquisadores da CPR, os hackers criam contas no QuickBooks e, em seguida, enviam faturas diretamente do site para os usuários finais e a “isca” está em instruções maliciosas, seja na forma de um número de telefone para contato ou um e-mail para interagir. Isso ocorre porque, apesar de a Intuit ter desativado desde 1º de maio a versão online de seu produto no Brasil, é possível que ainda existam usuários utilizando o sistema.
“Trata-se de um ataque que continua a acontecer e faz parte do que chamamos de BEC 3.0 [comprometimento de e-mail comercial], com o uso de ferramentas legítimas para realizar ataques de phishing. Mas o phishing ocorre em todas as formas e uma coisa que ainda é popular são os ataques de falsificação que parecem vir de um serviço legítimo, mas que na verdade vêm de um domínio ou endereço de e-mail malicioso”, explica Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.
Nesse novo ataque, os cibercriminosos estão falsificando o QuickBooks para tentar extrair dinheiro dos usuários finais.
Como funciona o ataque
O usuário recebe um e-mail que indica vir do Quickbooks Solutions, o que obviamente não é do suporte do QuickBooks (veja abaixo). Se usuário não conferir o endereço do remetente, certamente acreditará no e-mail informando que sua conta precisa ser atualizada, pois, do contrário, perderá acesso a muitos serviços importantes do pacote, incluindo folha de pagamento, pagamento de contas, entre outros.
Esse tipo de e-mail é o vetor de ataque. O usuário é induzido a ligar para o suporte do QuickBooks para resolver o problema. No entanto, ao acioná-lo, não irá interagir com o QuickBooks. Na verdade, o contato é um número fraudulento associado ao cibercriminoso.
Veja isso
Phishing cresce mais de 5 vezes no Brasil e trojans ganham força
Hackers usam novas técnicas para explorar sites alvo de phishing
Há muitos pontos que devem alertar os sistemas de segurança de e-mail e os usuários finais de que algo está errado. Um deles é o endereço do remetente. Não é um endereço de e-mail tradicional e certamente não está associado ao QuickBooks. Outro ponto refere-se ao número de telefone — a solução da Check Point Software com tecnologia de IA, por exemplo, verifica os números de telefone e os compara com números fraudulentos para ver se algo está errado. Outra coisa a ser observada é o tom do e-mail: é urgente, com muitas cores vermelhas e erros gramaticais, que chamam bastante a atenção. Em suma, é um ataque que deveria fazer soar muitos alertas.
“Falsificar marcas populares — e até mesmo não populares — é uma tática de phishing incrivelmente comum. É popular porque ainda funciona, mesmo que algumas das campanhas nem sempre pareçam verossímeis”, informa Fuchs.
Esse ataque que falsifica o QuickBooks é apenas um pouco convincente. Mas faz um ótimo trabalho ao transmitir o senso de urgência. Se o usuário não renovar, como informa o texto do e-mail, ele perderá acesso a serviços críticos, como pagamento de contas, folha de pagamento, impostos, entre outros serviços.”Assim, se você perceber isso e ainda que poderá perder o acesso a essas ferramentas, convém agir aceleradamente. É isso que os hackers esperam. Basta um momento em que o usuário não pense ou aja muito rapidamente para o ataque ser executado e causar danos graves”, ressalta Fuchs.