Google Docs Phising

Google Docs Phishing 2

- A utilização da funcionalidade de comentários no Google Docs representa outro exemplo da evolução do BEC 3.0.

- A utilização de sites legítimos facilita o acesso dos hackers à caixa de entrada.

Neste resumo do ataque, os investigadores do Harmony email, pertencentes à Check Point Software, líder mundial de soluções de cibersegurança, mostrarão outro exemplo de como os hackers estão a utilizar os serviços legítimos do Google para partilhar links ilegítimos.

Uma vez que os sites são os mesmos com que os utilizadores finais interagem todos os dias, isso não despertará os serviços de anti-phishing.

As típicas verificações de segurança não funcionam. Não se pode bloquear o Google, nem se deve fazê-lo. Os piratas informáticos estão a tirar partido desta legitimidade para enviar mensagens e ligações ilegítimas.

Ataque

Neste ataque, os hackers estão a utilizar as páginas do Google para enviar links para sites falsos de criptomoedas.

· Vetor: Correio eletrónico

· Tipo: Recolha de credenciais

· Técnicas: Engenharia social, BEC 3.0

· Alvo: Qualquer utilizador final

Exemplo de Email

Este ataque começa como muitos outros. Tudo o que o hacker tem de fazer é criar um documento Google. A partir daí, o hacker partilha o documento com o utilizador final. Tal como acontece com todos os documentos do Google, a partilha é feita por e-mail. O Google envia o e-mail diretamente; vem de um endereço no-reply@google.com. Quando o utilizador clica na ligação, é redirecionado para o documento Google abaixo.

Esta é uma página legítima do Google Doc. É suposto ser uma página de imitação do OneDrive, embora o facto de ser construída no Google anule o objetivo.

Independentemente disso, a ligação que é colocada na página do Google é onde o ataque o atinge.

Essa ligação é novamente redirecionada para uma página falsa de criptomoeda, que foi retirada.

Técnicas

O comprometimento do correio eletrónico empresarial está em plena evolução.

Começou com o simples correio eletrónico que imita um CEO ou outro executivo. Esse tipo de correio eletrónico ainda acontece, mas está a começar a ser mais reconhecido pelos utilizadores finais - basta ver a discrepância no endereço do remetente - e pelos sistemas de segurança de correio eletrónico.

O passo seguinte, foi o comprometimento de parceiros. Poderá ver isto referido como um ataque à cadeia de fornecimento ou um compromisso de fornecedor. Todos eles se referem a uma de duas coisas: um e-mail proveniente de um parceiro falsificado ou um e-mail proveniente de um parceiro comprometido. Este último é muito mais difícil de travar e representa provavelmente a estirpe dominante do BEC.

O que estamos a falar é sobre o que os hackers vão fazer a seguir. Os piratas informáticos nunca se mantêm numa única técnica durante muito tempo. É certo que atiram o problema para cima de uma organização, mas estão sempre a desenvolver táticas, especialmente porque as soluções de segurança de correio eletrónico gastaram muito dinheiro - em marketing e não só - em BEC.

Estão a mudar para aquilo a que chamamos BEC 3.0. Um exemplo perfeito disso é ilustrado acima. Isto elimina grande parte da incerteza que a BEC proporciona aos piratas informáticos. Um BEC bem sucedido não é assim tão simples. Sem uma ligação ou um descarregamento malicioso, espera-se que um utilizador final responda, se envolva e acabe por entregar o dinheiro. Exige muito tempo e energia. A recompensa pode ser grande. Mas é preciso chegar a essa recompensa.

A BEC 3.0 elimina alguma dessa incerteza. Requer o melhor do phishing padrão, baseado em links ou anexos, com a engenharia social que pode tornar o BEC tão bem sucedido. Aproveita algo em que todos confiamos - o Google - e processos em que todos confiamos - obter um documento partilhado do Google Docs. Não há nada de intrinsecamente errado nisto. E, como lembrete, não há nada de errado com o Google aqui. Está a tirar partido da forma como os protocolos de correio eletrónico funcionam.

Os profissionais de segurança têm um dilema. Não se pode bloquear o Google. Os trabalhadores revoltar-se-ão. (Até este briefing foi escrito no Google Docs.) O que se pode fazer é mudar a forma como se avaliam todas as páginas Web, e não apenas o Google. Para isso, é necessário olhar para além da PNL e simular efetivamente as páginas Web por detrás da ligação. A integração com a segurança do navegador também pode ser útil neste caso.

Mas à medida que os hackers mudam, também os profissionais de segurança têm de mudar, e esta mudança está a começar a acontecer agora.

A Check Point informou a Google desta investigação a 5 de julho.

Melhores práticas: Orientações e recomendações

Para se protegerem contra estes ataques, os profissionais de segurança podem fazer o seguinte:

· Implementar uma segurança que utilize IA para analisar vários indicadores de phishing

· Implementar uma segurança completa que consiga analisar documentos e ficheiros

· Implementar uma proteção URL robusta que analise e simule páginas Web