Pesquisadores da CheckPoint descobriram uma nova campanha de phishing que usa o Google Looker Studio para roubar credenciais de carteiras de criptomoedas.
Os operadores da campanha criam páginas falsas de criptomoedas no Google Looker Studio. Eles então incorporam as URLs dessas páginas em e-mails de phishing. Os e-mails parecem legítimos e são projetados para persuadir os usuários a clicar nas URLs.
Quando um usuário clica em uma URL, ele é redirecionado para uma página falsa que simula uma transferência financeira. A página solicita credenciais de carteiras de criptomoedas. Quaisquer dados digitados na página são coletados pelos operadores da ameaça.
A campanha está direcionada a usuários de criptomoedas em todo o mundo. Os pesquisadores da CheckPoint alertam para o perigo da campanha e recomendam que os usuários sejam cautelosos ao clicar em links em e-mails.
Neste ataque, os hackers estão utilizando o Google Looker Studio para hospedar sites criptográficos de coleta de credenciais.
Vetor: E-mail
Tipo: BEC 3.0
Técnicas: Engenharia Social, Coleta de Credenciais
Alvo: Qualquer usuário final
Exemplo de e-mail
Este ataque começa com um e-mail que vem diretamente do Google, neste caso o Google Looker Studio.
Os hackers criaram um relatório no Looker Studio. O e-mail traz um link para o relatório, informando que ao seguir essas estratégias de investimento, os usuários obtiveram um bom retorno. Para acessar sua conta, basta clicar aqui.
Ao clicar, você será redirecionado para esta página. Novamente, é uma página legítima do Google Looker.
Aqui, os hackers organizaram uma apresentação de slides do Google, dizendo como você pode reivindicar mais Bitcoin. A partir daí, você acessa uma página de login projetada para roubar suas credenciais. Mas primeiro, eles dão ainda mais urgência.
Para salvar sua conta, você deve fazer login imediatamente.
Então, é claro, suas credenciais serão roubadas.
No backend, você pode ver as assinaturas que o Google usa para legitimar esta página.
O Sender Policy Framework, ou SPF, é um método de autenticação de e-mail projetado para evitar falsificação de e-mail, especificando quais endereços IP ou servidores estão autorizados a enviar e-mails para um domínio específico.
Neste caso, a verificação SPF foi aprovada (spf=pass) porque o endereço IP do remetente (209.85.160.70) está listado como remetente autorizado para este domínio: data-studio.bounces.google.com
Depois, há DomainKeys Identified Mail, ou DKIM. É outra ferramenta de autenticação de e-mail que usa assinaturas criptográficas para verificar se o conteúdo do e-mail não foi alterado durante o trânsito e se realmente vem do domínio que afirma vir. Neste caso, a assinatura DKIM foi aprovada (dkim=pass) e foi verificada para o domínio google.com
Em seguida vem a Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio, ou DMARC. DMARC é uma estrutura de política baseada em SPF e DKIM para aprimorar ainda mais a autenticação de e-mail. Ele permite que os proprietários de domínio especifiquem quais ações devem ser tomadas para quaisquer e-mails que falhem no SPF ou DKIM. Neste caso específico, a verificação DMARC foi aprovada (dmarc=pass) para o domínio google.com e a ação especificada é nenhuma. Isso significa que nenhuma ação específica será tomada em caso de e-mails com falha.
Este é um longo caminho para dizer que os hackers estão aproveitando a autoridade do Google. Um serviço de segurança de e-mail analisará todos esses fatores e terá bastante confiança de que não se trata de um e-mail de phishing e que vem do Google. E acontece! Como o ataque está aninhado tão profundamente, todas as verificações padrão serão aprovadas com louvor.
Agora, isso requer cooperação por parte do usuário, para passar por todos os links e inserir as informações necessárias. Nem todo usuário fará isso. Mas, como costumamos dizer, basta um ataque bem-sucedido.
Os pesquisadores da Check Point entraram em contato com o Google para informá-los sobre esta campanha em 22 de agosto.
Para se protegerem contra esses ataques, os profissionais de segurança podem fazer o seguinte:
Adote tecnologia alimentada por IA capaz de analisar e identificar vários indicadores de phishing para impedir proativamente ataques complexos.
Adote uma solução de segurança abrangente que inclui recursos de digitalização de documentos e arquivos.
Implante um sistema robusto de proteção de URL que conduz verificações completas e emula páginas da web para aumentar a segurança.
Comments