Golpe de phishing usa Sharepoint e One Note para ir atrás de senhas

Aqui está um e-mail de phishing que recebemos recentemente que marca todas as caixas de truques para clicar nos criminosos cibernéticos.

De BEC, por meio de armazenamento em nuvem, por meio de um documento One Note aparentemente inocente, e direto para o caminho do perigo.

Em vez de simplesmente enviar spam para um link clicável para o máximo de pessoas possível, os criminosos usaram técnicas mais labirínticas, presumivelmente na esperança de evitar ser apenas mais um golpe de “e-mail inesperado que vai diretamente para uma página de login improvável”.

Ironicamente, enquanto os sites convencionais se concentram no que chamam de ” ausência de fricção” , com o objetivo de levá-lo de A a B o mais sem cliques possível, alguns cibercriminosos deliberadamente adicionam complexidade extra às suas campanhas de phishing.

A ideia é exigir alguns passos extras, levando você a uma jornada mais indireta antes de chegar a um site que exige sua senha, para que você não pule direta e suspeitamente de um link de e-mail para uma página de login.

Aqui está o phishing desvendado para que você possa ver como funciona.

Estágios de ataque

Primeiro, recebemos um e-mail de aparência inocente:

Na verdade, este veio de onde alegou – o proprietário de uma empresa de engenharia perfeitamente legítima no Reino Unido, cuja conta de e-mail evidentemente havia sido hackeada.

Não conhecíamos o remetente pessoalmente, mas achamos que ele era um leitor da Naked Security e havia se correspondido conosco no passado, então aparecemos em sua agenda de endereços junto com centenas de outras pessoas.

Presumimos que muitos dos destinatários se correspondiam com o remetente regularmente e não apenas estariam inclinados a confiar em suas mensagens, mas também a esperar anexos relacionados a negócios e projetos que vinham discutindo.

Assumir a conta de e-mail de outra pessoa para fins criminosos costuma ser conhecido como BEC , abreviação de compromisso de e- mail comercial , e costuma estar associado à chamada fraude de CEO ou CFO.

É aí que os criminosos visam deliberadamente a conta do CEO ou do CFO para que possam emitir instruções de pagamento falsas, aparentemente do nível mais alto.

Nesse caso, no entanto, os criminosos claramente decidiram usar uma conta comprometida como ponto de partida para comprometer o máximo possível.

Estamos supondo que os criminosos pretendiam usar as novas senhas para uma onda subsequente de crimes de BEC próprios ou vender as senhas para outros criminosos abusarem.

Abrir o anexo leva você a uma mensagem secundária que parece legítima à primeira vista, especialmente para destinatários que se comunicam regularmente com o remetente:

O link do Sharepoint no qual você deve clicar para acessar o arquivo One Note parece suspeito porque não há uma conexão clara entre a empresa do remetente e a localização da isca One Note.

Mas o negócio do remetente está relacionado à construção, e o nome de domínio no link do Sharepoint aparentemente se refere a uma empresa de construção, então o link é plausível, pelo menos.

O arquivo One Note em si é muito simples:

É apenas nesse estágio que os criminosos apresentam seu link de call-to-action – o clique que eles não queriam colocar diretamente no e-mail original, onde teria se destacado mais obviamente como um esquema de phishing.

Você seria perdoado por supor que o Review Documentbotão aqui simplesmente abre ou salta para uma parte do arquivo One Note que você já abriu …

… Mas, é claro, não há nenhum New Projectarquivo PDF, e o “link” que aparentemente está lá para você revisar o documento leva você para a página de login falsa para a qual os criminosos o têm atraído o tempo todo.

A página de login falsa está escondida (ou estava – o site está offline agora [2020-09-02T14: 00Z]) em um site WordPress hackeado pertencente a uma empresa de eventos.

Felizmente, os vigaristas se entregaram duplamente neste ponto.

Primeiro, eles erraram o nome da empresa do remetente nesta parte do golpe (esse é o texto redigido antes da palavra “Ltd”, que é a abreviatura no Reino Unido para uma empresa de responsabilidade limitada).

O nome da empresa do remetente termina com a palavra Estrutural , visto que ele está no ramo de construção, mas os criminosos erraram e digitaram a palavra Surgical – uma pequena, mas óbvia, bandeira vermelha para qualquer pessoa que faça negócios com o remetente.

Em segundo lugar, a empresa de eventos hackeados onde os criminosos ocultaram suas páginas de phishing está localizada em Kiev, na Ucrânia, e tem um nome de domínio que não está relacionado à indústria da construção nem localizado no Reino Unido, de onde veio o e-mail original. (Nós removemos o nome do site na imagem abaixo).

Se você clicar, apesar do link inesperado e do nome de domínio improvável, você finalmente encontrará um formulário de login, três etapas removidas do e-mail original, completo com imagens animadas sugestivas do Office 365:

O login é aparentemente necessário para acessar o que deveria ser um arquivo Excel.

No entanto, a mudança inexplicável para o Excel atrapalha a página anterior, onde lhe foi prometido um arquivo PDF, e você notará que os criminosos escreveram no Microsoft , Excel e Small Business incorretamente.

Você também deve suspeitar de uma página de login da Microsoft que oferece tantas opções de autenticação alternativas.

Isso é algo que os sites menores fazem para capitalizar o fato de que você provavelmente já tem contas com grandes jogadores, mas não esperaria que a Microsoft usasse qualquer um de seus concorrentes como serviço de autenticação.

Claro, se você inserir uma senha, ela vai direto para os trapaceiros, que então apresentam uma mensagem de erro falsa, talvez na esperança de que você tente outra conta e forneça uma segunda senha.

O que fazer?

• Não clique em links de login que você acessa por e-mail. Essa é uma extensão do nosso conselho usual de nunca clicar em links de login que aparecem diretamente em e-mails. Não deixe que os criminosos o distraiam, afastando-o primeiro de seu cliente de e-mail, para tornar a página de phishing mais confiável quando você chegar lá. Se você começou a partir de um e-mail, pare se precisar de uma senha. Encontre o seu próprio caminho para o site ou serviço que você deve usar.
• Mantenha os olhos abertos para ofertas óbvias. Como já dissemos várias vezes, a única coisa pior do que ser enganado é ser enganado e depois perceber que os sinais estavam lá o tempo todo. Os vigaristas nem sempre cometem erros óbvios, mas se cometem, certifique-se de não perdê-los.
• Se você acha que colocou uma senha onde não deveria, altere-a o mais rápido possível. Encontre o seu próprio caminho para o site oficial do serviço em questão e faça o login diretamente. Quanto antes você consertar seu erro, menos chance os vigaristas terão de chegar lá primeiro.
• Use 2FA sempre que puder. Contas protegidas por autenticação de dois fatores são mais difíceis de serem assumidas por criminosos, porque eles não podem simplesmente coletar sua senha e usá-la por conta própria mais tarde. Eles precisam induzi-lo a revelar seu código 2FA no exato momento em que estiverem fazendo um phishing.

Fonte: https://nakedsecurity.sophos.com/2020/09/02/phishing-scam-uses-sharepoint-and-one-note-to-go-after-passwords