Milhares de Passwords Roubadas e Publicadas na Internet

A Check Point Research descobre uma campanha de phishing de larga escala onde os atacantes descuidadamente deixaram milhares passwords roubadas acessíveis ao público através de uma simples pesquisa na Google

A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, e a Otorio descobriram uma campanha de phishing de larga escala onde os atacantes deixaram de forma inadvertida credenciais roubadas acessíveis ao público. A campanha de phishing começou em Agosto do ano passado com e-mails mascarados por notificações de digitalizações Xerox. Os e-mails levavam os utilizadores a abrir um ficheiro HTML malicioso em anexo que passava os filtros do Microsoft Office 365 Advanced Threat Protection (ATP). Mais de mil credenciais corporativas de colaboradores foram roubadas. Os atacantes guardaram as credenciais roubadas em páginas web nos servidores comprometidos. A Google, que indexa constantemente a internet, também indexou essas pretensas páginas web. Com isto, as credenciais roubadas ficaram disponíveis publicamente para quem quisesse pesquisar por endereços de email roubados na Google. Dito de outra forma, com uma simples pesquisa na Google, qualquer pessoa poderia ter encontrado a password de um dos endereços de e-mail comprometido, um presente para qualquer atacante oportunista.

Metodologia do Ataque

1. Atacantes começaram a enviar um e-mail de phishing malicioso a potenciais vítimas, com um ficheiro HTML em anexo.
2. Ao clicarem no ficheiro HTML, as vítimas são levados a uma página de login semelhante à das marcas populares, no caso da Xerox.
3. Passwords e endereços de e-mail das vítimas que caíram no ataque de phishing, são enviados e guardados nos servidores comprometidos num ficheiro de texto.
4. Enquanto permanecem nos servidores comprometidos, à espera que os hackers os recolham, a Google que monitoriza a internet constantemente, indexa os ficheiros de texto desses servidores e torna-os disponíveis através do motor de pesquisa da Google.
   

“Tendemos a acreditar que quando alguém rouba as nossas passwords, o pior cenário é que essa informação seja usada pelos hackers que seja trocada entre si na dark net. Não foi o que aconteceu neste caso. Aqui, qualquer pessoa tem acesso à informação roubada. A estratégia dos atacantes era guardar a informação roubada numa página web criada por eles. Assim, passado algum tempo das campanhas de phishing estarem a correr, os atacantes podem monitorizar os servidores comprometidos em busca das respetivas páginas web e coligir as credenciais roubadas. Os atacantes não pensaram que se eles conseguiriam monitorizar a internet em busca dessas páginas, também a Google. Esta foi claramente uma operação de segurança falhada por parte dos atacantes”, afirma Lotem Finkelsteen, Head of Threat Intelligence da Check Point Software.


Como se Manter Protegido 

1. Verifique o domínio. Tenha atenção a domínios semelhantes, erros de escrita nos e-mails ou websites, e emissores de e-mail desconhecidos.
2. Seja cético quanto a emissores desconhecidos. Seja cauteloso com ficheiros recebidos via e-mail de emissores desconhecidos, especialmente se incitam a ter algum tipo de ação que naturalmente não faria.
3. Use somente fontes autênticas. Assegure-se que está a adquirir bens de fontes autênticas. Uma forma de o fazer é NÃO clicando em links promocionais de e-mails, em vez disso, pesquisar no Google o seu retalhista escolhido e clicar no link da página de resultados da Google.
4. Pense duas vezes antes de clicar numa “Oferta Especial”. Tenha em atenção as ofertas especiais que não pareçam fiáveis ou oportunidades de aquisição fiáveis.Não reutilize passwords. Assegure-se que não reutiliza passwords entre diferentes aplicações e contas.