Pesquisadores da Avanan, empresa de segurança de colaboração e e-mail em nuvem, coligada à Check Point Software, alertam para uma nova campanha de phishing que usa o Dynamic 365 Customer Voice da Microsoft para enviar links de páginas falsas para capturar nomes de usuário, senhas e outras informações.
“Nos últimos meses, os cibercriminosos estão usando continuamente o que chamamos de ‘static expressway’ para alcançar os usuários finais, que é uma técnica para tirar proveito de páginas da web legítimas para burlar os sistemas de segurança. Nesses tipos de ataques, os sistemas de segurança não podem bloquear diretamente a Microsoft, pois isso bloquearia o trabalho”, informa Jeremy Fuchs, pesquisador e analista de cibersegurança na Avanan.
Esses tipos de ataques ocorrem com frequência no Facebook, PayPal ou QuickBooks, entre outros. É especialmente difícil para o software de segurança descobrir o que é real e o que está oculto por trás do link legítimo. Além disso, muitos sistemas veem um link conhecido e, por padrão, não o verificam.
É por isso que este é um ataque particularmente complicado, principalmente porque o link de phishing não aparece até a última etapa. Eles primeiro direcionam os usuários para uma página legítima, portanto, passar o mouse sobre a URL no corpo do e-mail não fornecerá proteção. Nessa situação, seria importante lembrar aos usuários de consultar todas as URLs, mesmo quando não estiverem no corpo do e-mail.
Metodologia de ataque
O Dynamics 365 Customer Voice é um produto da Microsoft usado principalmente para obter feedback de clientes. Ele pode ser usado para pesquisas de satisfação do cliente, para rastrear o retorno do cliente e agregar dados; também pode ser usado para interagir com os clientes por telefone, com os dados sendo coletados para mais informações. “É aqui que os hackers notaram como tirar proveito. Em vez de usar isso para feedback do cliente, os atacantes estão tentando roubar informações do cliente”, explica Fuchs.
Nesse ataque, os cibercriminosos usam notificações falsas do navegador para entregar arquivos maliciosos. A Avanan encontrou centenas desses ataques nas últimas semanas.
- Vetor: e-mail
- Tipo: coleta de credenciais
- Técnicas: engenharia social, roubo de identidade
- Objetivo: qualquer usuário final
Veja isso
Hackers usam métodos fortuitos de phishing para roubar dados
Aplicativos Android levaram usuários a sites de phishing
Este e-mail vem do recurso de pesquisa do Dynamics 365. Curiosamente, é possível ver que o endereço de envio tem “Forms Pro”, que é o nome antigo do recurso de pesquisa. O e-mail mostra que uma nova mensagem de voz foi recebida. Para o usuário final, isso parece uma mensagem de voz de um cliente, que deve ser importante ouvir. Clicar nele será, então, o passo natural a ser dado.
Este é um link legítimo do Microsoft Customer Voice. Como o link é autêntico, os programas de detecção pensarão que este e-mail é válido. No entanto, ao clicar no botão “Play Voicemail” (“Reproduzir correio de voz”), os cibercriminosos têm mais truques na manga. A intenção do e-mail não é enviar uma mensagem de voz, mas fazer com que se clique no botão “Play Voicemail” para redirecionar a um link de phishing.
Depois que o link do correio de voz for clicado, o usuário será redirecionado para uma página de login idêntica da Microsoft. É aqui que os atacantes roubam seu nome de usuário e senha. Os pesquisadores da Avanan chamam a atenção para se observar que, no exemplo 3, a URL é diferente de uma página típica da Microsoft.
