Phishing adiciona sobreposição na página oficial de empresa para roubar credenciais

Esta é uma nova tática, dizem os pesquisadores, que carrega a página legítima da empresa e aplica uma caixa de login falsa em cima dela.

A isca e o anzol

O ataque começa com um e-mail que parece ser da equipe de suporte técnico da empresa, informando que algumas mensagens foram impedidas de chegar à caixa de entrada porque foram colocadas em quarentena.

Para criar um senso de urgência, a mensagem do invasor afirma que os emails estão programados para exclusão, a menos que o destinatário os revise e tome medidas para recuperá-los.

Um link no corpo do e-mail leva a vítima potencial à página de phishing, onde a página inicial da empresa é carregada automaticamente com base no nome de domínio no endereço.

No entanto, os fraudadores adicionaram uma sobreposição com um painel de login falso, certificando-se de não cobrir a página inteira. Dessa forma, os funcionários com suspeita de um ataque podem clicar nos links e ver que são legítimos.

O método de sobreposição foi usado no passado e agora é normalmente visto com cavalos de Troia bancários para Android para roubar credenciais de banco online e detalhes de cartão de pagamento.

Dylan Main, da Cofense, disse em um post de hoje que os links para esta campanha de phishing são do mesmo domínio (‘traximgarage [.] Com’), mas têm parâmetros específicos para carregar a página da web correspondente à empresa-alvo.

A sobreposição de login falso tem o endereço de e-mail do destinatário digitado no campo de nome de usuário, fazendo com que tudo pareça mais legítimo. Abaixo estão dois exemplos que mostram a tática em ação:

O tema da “mensagem em quarentena” não é novo, mas Main diz que a sobreposição representa “mecânica avançada para fazer [a campanha] parecer ainda mais legítima”.

Embora esse método possa não ser bem-sucedido em empresas menores, pode ser eficiente em ambientes maiores, onde os funcionários tendem a confiar mais em sistemas de proteção de e-mail e ser menos vigilantes.

Fonte: https://www.bleepingcomputer.com/news/security/phishing-adds-overlay-on-official-company-page-to-steal-logins/