Neste resumo do ataque, os investigadores do Harmony email, pertencentes à Check Point Software, mostrarão outro exemplo de como os hackers estão a utilizar os serviços legítimos do Google Docs Phishing 2 (Google) para partilhar links ilegítimos.
Uma vez que os sites são os mesmos com que os utilizadores finais interagem todos os dias, isso não despertará os serviços de anti-phishing.
As típicas verificações de segurança não funcionam. Não se pode bloquear o Google, nem se deve fazê-lo. Os piratas informáticos estão a tirar partido desta legitimidade para enviar mensagens e ligações ilegítimas.
Google Docs Phishing 2: Ataque
Neste ataque, os hackers estão a utilizar as páginas do Google para enviar links para sites falsos de criptomoedas.
- Vetor: Correio eletrónico
- Tipo: Recolha de credenciais
- Técnicas: Engenharia social, BEC 3.0
- Alvo: Qualquer utilizador final
Exemplo de Email
Este ataque começa como muitos outros. Tudo o que o hacker tem de fazer é criar um documento Google. A partir daí, o hacker partilha o documento com o utilizador final. Tal como acontece com todos os documentos do Google, a partilha é feita por e-mail. O Google envia o e-mail diretamente; vem de um endereço no-reply@google.com. Quando o utilizador clica na ligação, é redirecionado para o documento Google abaixo.
Esta é uma página legítima do Google Doc. É suposto ser uma página de imitação do OneDrive, embora o facto de ser construída no Google anule o objetivo.
Independentemente disso, a ligação que é colocada na página do Google é onde o ataque o atinge.
Essa ligação é novamente redirecionada para uma página falsa de criptomoeda, que foi retirada.
Técnicas
O comprometimento do correio eletrónico empresarial está em plena evolução.
Começou com o simples correio eletrónico que imita um CEO ou outro executivo. Esse tipo de correio eletrónico ainda acontece, mas está a começar a ser mais reconhecido pelos utilizadores finais – basta ver a discrepância no endereço do remetente – e pelos sistemas de segurança de correio eletrónico.
O passo seguinte, foi o comprometimento de parceiros. Poderá ver isto referido como um ataque à cadeia de fornecimento ou um compromisso de fornecedor. Todos eles se referem a uma de duas coisas: um e-mail proveniente de um parceiro falsificado ou um e-mail proveniente de um parceiro comprometido. Este último é muito mais difícil de travar e representa provavelmente a estirpe dominante do BEC.
O que estamos a falar é sobre o que os hackers vão fazer a seguir. Os piratas informáticos nunca se mantêm numa única técnica durante muito tempo. É certo que atiram o problema para cima de uma organização, mas estão sempre a desenvolver táticas, especialmente porque as soluções de segurança de correio eletrónico gastaram muito dinheiro – em marketing e não só – em BEC.
Estão a mudar para aquilo a que chamamos BEC 3.0. Um exemplo perfeito disso é ilustrado acima. Isto elimina grande parte da incerteza que a BEC proporciona aos piratas informáticos. Um BEC bem sucedido não é assim tão simples. Sem uma ligação ou um descarregamento malicioso, espera-se que um utilizador final responda, se envolva e acabe por entregar o dinheiro. Exige muito tempo e energia. A recompensa pode ser grande. Mas é preciso chegar a essa recompensa.
A BEC 3.0 elimina alguma dessa incerteza. Requer o melhor do phishing padrão, baseado em links ou anexos, com a engenharia social que pode tornar o BEC tão bem sucedido. Aproveita algo em que todos confiamos – o Google – e processos em que todos confiamos – obter um documento partilhado do Google Docs. Não há nada de intrinsecamente errado nisto. E, como lembrete, não há nada de errado com o Google aqui. Está a tirar partido da forma como os protocolos de correio eletrónico funcionam.
Os profissionais de segurança têm um dilema. Não se pode bloquear o Google. Os trabalhadores revoltar-se-ão. (Até este briefing foi escrito no Google Docs.) O que se pode fazer é mudar a forma como se avaliam todas as páginas Web, e não apenas o Google. Para isso, é necessário olhar para além da PNL e simular efetivamente as páginas Web por detrás da ligação. A integração com a segurança do navegador também pode ser útil neste caso.
Mas à medida que os hackers mudam, também os profissionais de segurança têm de mudar, e esta mudança está a começar a acontecer agora.
A Check Point informou a Google desta investigação a 5 de julho.
Melhores práticas: Orientações e recomendações
Para se protegerem contra estes ataques, os profissionais de segurança podem fazer o seguinte:
- Implementar uma segurança que utilize IA para analisar vários indicadores de phishing
- Implementar uma segurança completa que consiga analisar documentos e ficheiros
- Implementar uma proteção URL robusta que analise e simule páginas Web
Siga a Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Siga a Check Point Security:
LinkedIn: https://www.linkedin.com/showcase/check-point-software-portugal/
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointportugal/
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
