- Cibercriminosos utilizam domínios legítimos e autênticos para falsificar faturas e obter contactos telefónicos
- Uma vez que o domínio não é malicioso, as soluções de segurança mais rudimentares falham em identificar o ataque
A Avanan, empresa subsidiária da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nivel global, alerta para uma campanha de phishing que explora o software Quickbooks para roubar dados dos utilizadores. Os cibercriminosos fazem-se passar pela Quickbooks para obter acesso aos e-mails dos utilizadores. Aproveitando-se da legitimidade de um domínio de confiança, é mais provável que as soluções de segurança considerem o próprio correio eletrónico como autêntico.
Desde maio de 2022 que investigadores da Avanan observam cibercriminosos utilizando o domínio Quickbooks – quickbooks.intuit.com – para enviar faturas maliciosas e solicitar pagamentos fraudulentos. Os atacantes enviam o e-mail do domínio Quickbooks, utilizando uma conta gratuita que subscreveram e falsificando o corpo do e-mail para imitar marcas tais como Norton ou Office 365.
O conteúdo da mensagem pode ser diferente dos serviços oferecidos pelo domínio, mas o ponto-chave é utilizar o serviço legítimo. A isto chama-se "The Static Expressway", tática em que os cibercriminosos utilizam páginas web que estão nas "Listas de Permissão Estática" para entrar na caixa de entrada.
Depois de criar uma conta Quickbooks, enviam faturas e pedidos de pagamento maliciosos diretamente do serviço. Neste ataque, utilizam a legitimidade do serviço visado para entrar na caixa de entrada.
No exemplo acima, os cibercriminosos apresentam o que parece ser uma fatura da empresa Norton. O e-mail vem de um domínio Quickbooks porque já se inscreveram anteriormente numa das suas contas e estão a enviar uma fatura a partir dela, encorajando o utilizador a telefonar se houver alguma dúvida. Quando o pedido for feito para o número fornecido, solicitarão os detalhes do cartão de crédito para cancelar a transação. Note-se que tanto o número de telefone como o endereço não correspondem a um verdadeiro.
Os cibercriminosos, especialmente na Dark Web, estão a utilizar uma combinação de engenharia social e domínios legítimos para extrair dinheiro e credenciais dos utilizadores finais. Ao utilizar um domínio legítimo – neste caso, Quickbooks – obtêm um domínio de confiança para enviar e-mails de phishing. Este tipo de ataque já foi identificado com muitas outras grandes marcas como Microsoft, Google, Walgreens, DHL, Adobe e muitas mais que se encontram nas "Listas de Permissões Estáticas". É óbvio que as próprias organizações não podem bloquear o Google, pelo que os domínios relacionados são autorizados a entrar na caixa de entrada. Os cibercriminosos roubam estas listas estáticas a toda a hora.
Este ataque é, na verdade, um duplo-ataque. Os cibercriminosos recebem dinheiro e têm um número de telefone para ameaças futuras, seja por mensagem de texto ou por WhatsApp. Existem dois grandes adjetivos:
- Conseguir que o utilizador ligue para o número de telefone indicado.
- Fazer o utilizador pagar a conta.
Acrescente-se a isto o facto de haver legitimidade incorporada, uma vez que o e-mail vem de Quickbooks, e representa uma campanha de phishing particularmente enganadora e eficaz.
As melhores práticas para se proteger
- Antes de ligar para um serviço desconhecido, faça uma pesquisa do número num motor de busca e verifique as contas para ver se existe de facto uma taxa.
- Implementar soluções de segurança avançadas que analisem mais do que um indicador para determinar se um e-mail é fiável ou não.
- Contacte o departamento de TI da empresa caso tenha dúvidas em relação à legitimidade de um e-mail.
Post A Comment:
0 comments: