Microsoft alerta sobre campanha de phishing usando redirecionamentos abertos
A Equipe de Inteligência de Ameaças do Microsoft 365 Defender postou um artigo afirmando que eles têm rastreado uma campanha de phishing de credencial generalizada usando links redirecionadores abertos.
Os redirecionamentos abertos fazem parte do arsenal do phisher há muito tempo e é um método comprovado de induzir as vítimas a clicar em um link malicioso.
O que são redirecionamentos abertos?
A definição de Mitre para “redirecionamento aberto” especifica:
“Um parâmetro http pode conter um valor de URL e pode fazer com que o aplicativo da web redirecione a solicitação para o URL especificado. Ao modificar o valor do URL para um site malicioso, um invasor pode lançar com êxito um esquema de phishing e roubar as credenciais do usuário. Como o nome do servidor no link modificado é idêntico ao do site original, as tentativas de phishing têm uma aparência mais confiável. ”
Em termos leigos, você clica em um link pensando que está indo para um site confiável, mas o link é construído de forma que redireciona você para outro site, que nesses casos é muito menos confiável. Por exemplo, usuários que foram treinados para passar o mouse sobre links em e-mails antes de clicar neles podem ver um domínio em que confiam e, portanto, clicar nele. Depois disso, eles serão redirecionados e pousarão em algum lugar inesperado. E se o phisher for bom, vai parecer que a vítima pousou onde esperava.
CAPTCHA
Outro elemento que esta campanha de phishing usa para ganhar a confiança da vítima é adicionar a verificação Captcha à página de phishing. Isso não é incomum. Os pesquisadores descobriram várias novas campanhas usando serviços legítimos de desafio e resposta (como o reCAPTCHA do Google) ou implementando uma validação falsa do tipo CAPTCHA personalizada. Pesquisas anteriores já mostravam que havia um aumento de páginas de phishing protegidas por CAPTCHA. Ocultar conteúdo de phishing atrás de CAPTCHAs impede que os rastreadores detectem conteúdo malicioso e até adiciona uma aparência legítima às páginas de login de phishing.
Afinal, CAPTCHA significa o teste de Turing público completamente automatizado para diferenciar computadores de humanos. Portanto, ele tentará manter os rastreadores automatizados afastados de fornecedores e pesquisadores de segurança e apenas permitir que “humanos insignificantes” entrem com frequência para serem phishing. Eu escrevi tentar na última frase propositalmente porque existem vários rastreadores por aí que são equipados com habilidades de resolução de CAPTCHA que superam o meu. E repetir o mesmo CAPTCHA em vários sites só torna mais fácil para esses rastreadores.
O que os phishers também podem não ter percebido, ou se incomodado em pensar, é que o CAPTCHA usa um ID exclusivo e se você começar a copiar o seu ID CAPTCHA em todas as suas páginas de phishing, isso permite que os pesquisadores rastreiem suas campanhas e os ajuda a encontrar rapidamente e identificar seus novos sites de phishing. Talvez até mais rápido do que normalmente levariam os rastreadores de segurança para localizá-los.
Phishing de credencial
Os e-mails de phishing de credencial geralmente são um ponto de partida para que os agentes de ameaças ganhem espaço em uma rede. Depois que o invasor consegue obter credenciais válidas, ele pode tentar as credenciais que encontrou, em vez de recorrer a ataques de força bruta. Nesta campanha, a Microsoft percebeu que os emails pareciam seguir um padrão geral que exibia todo o conteúdo do email em uma caixa com um grande botão que levava a páginas de coleta de credenciais quando clicado.
Depois que a vítima passa na verificação CAPTCHA, ela é apresentada a um site que imita o serviço legítimo que o usuário esperava. Neste site eles verão seu endereço de e-mail já presente e solicitando a senha do usuário. Essa técnica é projetada para enganar os usuários para que preencham credenciais corporativas ou outras credenciais associadas ao endereço de e-mail.
Se o usuário inserir sua senha, a página será atualizada e exibirá uma mensagem de erro informando que o tempo limite da página expirou ou a senha estava incorreta e que ele deve inserir a senha novamente. Isso provavelmente é feito para que o usuário digite a senha duas vezes, permitindo que os invasores garantam a obtenção da senha correta.
Assim que o usuário insere sua senha pela segunda vez, a página direciona para um site legítimo da Sophos que afirma que a mensagem de e-mail foi liberada. Esta é outra camada de engenharia social para enganar a vítima.
Reconhecendo o phishing
A Microsoft fornece ao leitor muitos domínios que estão envolvidos nesta campanha, mas para o destinatário é mais fácil reconhecer o formato das linhas de assunto, que podem ser assim:
- [Nome de usuário do destinatário] 1 Nova Notificação
- Status do relatório para [Nome de domínio do destinatário] em [Data e hora]
- Zoom Reunião para [Nome de Domínio do Destinatário] em [Data e Hora]
- Status para [Nome de domínio do destinatário] em [Data e hora]
- Notificação de senha para [nome de domínio do destinatário] em [data e hora]
- [Nome de usuário do destinatário] eNotification
Levar a sites (por trás do CAPTCHA) fingindo que o destinatário faz logon no Zoom, Office 365 ou outros serviços da Microsoft. Os domínios finais usados nas campanhas observadas durante este período seguem principalmente um padrão de algoritmo de geração de domínio específico (DGA). Muitos dos domínios que hospedam as páginas de phishing seguem um padrão DGA específico:
- [letra] – [letra] [letra] .xyz (exemplo: c-tl.xyz)
- [letra] – [letra] [letra] .club (exemplo: i-at.club)
Uma coisa a lembrar: um gerenciador de senhas pode ajudá-lo contra phishing. Um gerenciador de senhas não fornecerá credenciais para um site que não reconheça e, embora um site de phishing possa enganar o olho humano, não enganará um gerenciador de senhas. Isso ajuda os usuários a obter suas senhas coletadas.
Fiquem seguros, todos!
