Ex-Ministro dos Negócios Estrangeiros Israelita, ex-embaixador dos EUA em Israel, ex-General do Exército israelita e três outros Executivos de Alto Perfil são alvos da Operação Iranian Spear Phishing
A Check Point Research (CPR) expôs uma operação de spear-phising iraniana dirigida a executivos israelitas e norte-americanos de alto nível. Os atacantes desviam e-mails de funcionários de alto escalão em Israel e utilizam-no para visar outros funcionários de iguais escalões para roubar informação pessoal. Os alvos incluíram o antigo Ministro dos Negócios Estrangeiros israelita, Tzipi Livni, o antigo Embaixador dos EUA em Israel, o antigo Major-General da IDF, e três outros. Os atacantes desviaram ainda trocas de e-mails existentes e trocaram-nos por novos e-mails, pretendendo ser outra pessoa, para induzir os seus alvos a conversarem com os ciberatacantes. O CPR acredita que o objetivo da operação é roubar informações pessoais, digitalizar passaportes e aceder a contas de correio eletrónico. As conclusões do CPR surgem num momento de tensão crescente entre Israel e o Irão, onde já ocorreram tentativas anteriores do Irão para atrair alvos israelitas através do correio eletrónico.
A Check Point Research (CPR) expôs uma operação de pesca submarina iraniana dirigida a executivos israelitas e norte-americanos de alto perfil. Como parte das suas operações, os atacantes assumem as contas existentes dos executivos e criam contas de fachada para atrair os seus alvos para longas conversas de correio eletrónico. O CPR acredita que o objetivo da operação é roubar informações pessoais, digitalizar passaportes, e aceder a contas de correio eletrónico. O CPR considera que a operação data pelo menos até Dezembro de 2021, mas pressupõe uma data anterior.
Os alvos de destaque incluem:
- Tzipi Livni - ex-Ministro dos Negócios Estrangeiros e Vice-Primeiro-Ministro de Israel;
- Antigo Major-General que serviu numa posição altamente sensível na IDF;
- Presidência de um dos principais grupos de investigação de segurança de Israel;
- Ex-embaixador dos EUA de Israel;
- Ex-Presidente de um conhecido centro de investigação do Médio Oriente;
- Executivo sénior da indústria de defesa israelita.
Metodologia de ataque
- O atacante toma conta de um endereço de correio verdadeiro de um contato frequente do alvo;
- O atacante continua a sequestrar uma conversa por e-mail existente;
- Os atacantes abrem então um e-mail falso para se fazerem passar pelo contacto do alvo, na sua maioria no formato de joe.doe.corp@gmail.com;
- Os atacantes continuam a conversa desviada do falso e-mail e trocam entre si e-mails com o alvo;
- Alguns dos e-mails incluem um link para um documento real que é relevante para o alvo. Por exemplo: Um convite para uma conferência ou página de pesquisa / phishing do Yahoo/ link para o upload de scans de documentos.
Examplo de e-mail: Tzipi Livni, ex-Ministro dos Negócios Estrangeiros e Vice-Primeiro-Ministro de Israel
Livni foi abordado via e-mail por alguém que se fazia passar por um conhecido ex-General Maior da IDF que serviu numa posição altamente confidencial. O e-mail foi enviado a partir do seu endereço verdadeiro de e-mail que mantinha anteriormente correspondência. O e-mail continha um link para um ficheiro que o atacante lhe pediu que abrisse e lesse. Quando se atrasou a fazê-lo, o atacante abordou-a várias vezes pedindo-lhe que abrisse o ficheiro utilizando a sua palavra-passe. Isto suscitou suspeitas. Quando Livni se encontrou com o antigo Major-General e lhe perguntou sobre o e-mail, foi confirmado que este nunca lhe tinha enviado tal e-mail.
Figure 1. Email to Tzipi Livni no Dia 1
Figure 2. Email to Tzipi Livni no Dia 6
Atribuição
O CPR acredita que os agentes da ameaça por detrás da operação são uma entidade com apoio iraniano. As provas apontam para uma possível ligação da operação ao grupo APT de Fósforo de Fósforo atribuído ao Irão. O grupo tem uma longa história de condução de operações cibernéticas de alto nível, alinhadas com os interesses do regime iraniano, bem como oficiais israelitas atacados.
Como reconhecer e-mail phishing?
Os phishers utilizam uma vasta gama de técnicas para fazer com que os seus e-mails de phishing pareçam legítimos. Estas são algumas das técnicas mais utilizadas para identificar as mensagens de correio eletrónico maliciosas.
Estratagemas psicológicos
Os e-mails de phishing são concebidos para convencer o destinatário a fazer algo que não seja do seu melhor interesse (disponibilizar informação sensível, instalar malware, etc.). Para o conseguir, os phishers usam habitualmente pretextos psicológicos nas suas campanhas, como por exemplo:
- Sentido de Urgência: Os e-mails de phishing geralmente indicam aos destinatários que é necessário urgência. Isto porque alguém com pressa é menos suscetível de crer que o correio eletrónico é suspeito ou se é legítimo.
- Recurso à Autoridade: As fraudes de correio eletrónico empresarial (BEC) e outras mensagens de correio eletrónico de spear-phishing geralmente fingem ser o CEO ou outra identidade com autoridade. Estes esquemas beneficiam do facto de que o destinatário está naturalmente inclinado a seguir ordens dos seus chefes.
- Medo e chantagem: Os e-mails de phishing ameaçam através da chantagem (tal como revelar dados sensíveis alegadamente roubados) se o destinatário não seguir o que o atacante diz. O medo, o constrangimento e/ou punição persuadem o destinatário.
Se um e-mail parecer coagido de alguma forma, pode ser um ataque de phishing.
Pedidos suspeitos
Os e-mails de phishing são desenhados para roubar dinheiro, credenciais, ou outra informação sensível. Se um e-mail fizer um pedido ou uma exigência que pareça invulgar ou suspeita, então isto pode ser uma evidência de que é um ataque de phishing.
Domínios falsos
Uma das técnicas mais comuns em e-mails de phishing são os domínios semelhantes ou falsos. Os domínios semelhantes são concebidos para parecerem ser um domínio legítimo ou de confiança, num relance ingênuo. Por exemplo, em vez de official@company.com, um e-mail de phishing pode utilizar official@cornpany.com. Embora estes e-mails possam parecer reais, pertencem a um domínio completamente diferente que pode estar sob o controlo dos atacantes.
Como reagir a uma suspeita de Spear-phishing?
O impacto causado em uma organização e o custo de um ataque de phishing depende da rapidez e correção da reação. Se suspeitar que um e-mail pode ser um e-mail de phishing, adote as seguintes medidas:
- Não Responder, Clique em Links, ou Abra Anexos: Nunca aja como o phisher quer. Se houver uma ligação suspeita, anexo, ou solicitação, não clique, abra, ou envie.
- Comunique o e-mail à equipa de TI ou de Segurança: Os ataques de phishing são normalmente constítuidos por ações distribuídas, e só porque se apanhou o esquema não significa que todos o tenham feito. Informe o e-mail à equipa de TI ou de segurança para que possam iniciar uma investigação e efetuar o controlo de danos o mais rapidamente possível.
- Eliminar o e-mail suspeito: Depois de relatar, eliminar o e-mail suspeito da sua caixa de entrada. Isto diminui a possibilidade de clicar acidentalmente sobre ele sem se aperceber mais tarde.
- Embora a consciência das táticas comuns de phishing e o conhecimento das melhores práticas anti-phishing seja importante, os modernos ataques de phishing são suficientemente sofisticados para que alguns escapem sempre. O treino de sensibilização para o phishing deve ser complementado com soluções anti-phishing que podem ajudar a detetar e bloquear tentativas de campanhas de phishing. Check Point Harmony Email & Office fornece visibilidade e protecção através de técnicas de phishing por correio eletrónico. Para saber mais sobre como proteger a sua organização contra e-mails de phishing, solicite uma demonstração gratuita.
O grupo APT, filiado no Irão, continua a sua atividade de spear-phishing dirigida a alvos do regime iraniano. Esta investigação expôs as infra-estruturas de phishing iranianas que visam os executivos do sector público israelita e norte-americano, com o objetivo de roubar as suas informações pessoais, digitalizar passaportes, e roubar o acesso às suas contas de e-mail. Os investigadores da RCP têm provas sólidas de que a operação terá sido realizada em dezembro de 2021, porém poderá ter arrancado ainda mais cedo. A componente mais sofisticada da operação é a engenharia social. Os atacantes utilizam verdadeiras cadeias desviadas de correio eletrónico, imitações de contatos bem conhecidos dos alvos e iscas específicas para cada alvo. A operação implementa uma cadeia de phishing muito direcionada que é especificamente criada para cada alvo. Além disso, o agressivo envolvimento via e-mail do agressor do Estado-nação com os alvos é raramente visto nos ciberataques do Estado-nação. O CPR continuará a monitorizar a operação.
Post A Comment:
0 comments: