Sites do Snapchat e American Express foram usados em ataques de phishing
Os sites de grandes empresas como American Express e Snapchat foram usados como acessórios em uma campanha de phishing direcionada a usuários de serviços da Microsoft. A partir de uma falha de redirecionamento nos domínios das gigantes, os criminosos foram capazes de usar URLs legítimas para direcionar possíveis vítimas aos locais onde hospedavam malware, sem que os links fossem detectados como maliciosos.
A campanha foi descoberta pela empresa de cibersegurança Inky e, no caso do Snapchat, estaria em andamento há mais de um ano, ainda sem solução e ainda que os responsáveis pelo serviço tivessem sido notificados pela abertura. Pelo menos 6,8 mil e-mails teriam sido enviados usando links manipulados da plataforma desde junho. No caso da American Express, a exploração durou apenas alguns dias, mas chegou a ser utilizada em mais de 2 mil mensagens fraudulentas.
Além da própria Microsoft, os bandidos utilizavam os nomes de marcas como FedEx e DocuSign para dar maior aparência de legitimidade às mensagens. Apesar do abuso de uma vulnerabilidade relativamente comum nos sistemas web das duas empresas, os golpes seguiam as vias usuais, com botões para serem clicados em nome de atualizações, arquivos anexos ou confirmações, que na verdade levavam o usuário à página maliciosa.
Nos casos analisados, tanto a solicitação de informações pessoais quanto a instalação de malware foram detectadas. Além disso, os pesquisadores da Inky apontam que os criminosos eram capazes de direcionar ainda mais os ataques pela inclusão de dados das vítimas na URL, aumentando ainda mais a possibilidade de um golpe bem-sucedido mesmo naqueles que têm o costume de checar direcionamentos e remetentes de e-mails recebidos.
Essa atenção, aliás, continua sendo a principal via de defesa contra golpes desse tipo, mesmo com esse nível de sofisticação. O ideal é que os usuários só cliquem em links ou baixem arquivos anexos quando tiverem certeza absoluta da origem deles e reconhecerem remetentes ou serviços; na dúvida, o melhor é procurar outra via para checar um eventual problema ou solicitação, como atendimentos telefônicos ou sites oficiais.
Aos administradores de sites, a recomendação é para que chequem as configurações de seus domínios de forma que redirecionamentos não sejam abusados por terceiros. Vale, ainda, inserir um aviso de que a página em questão está levando o usuário a outro lugar, com um botão de confirmação, de forma a alertar que o site que vem a seguir não pertence aos domínios da própria organização.
Fonte: Canaltech