Especialistas em cibersegurança alertam para uma nova e alarmante vaga de ataques de phishing que está a comprometer contas Meta (Facebook, Instagram) e PayPal em tempo real e de forma quase instantânea. Esta campanha destaca-se pela sua sofisticação, velocidade e, crucialmente, pelo método de entrega das mensagens fraudulentas.
Como opera esta nova e sofisticada ameaça?
A campanha maliciosa combina um arsenal de técnicas avançadas para enganar as vítimas e contornar defesas. Os atacantes utilizam desde identificadores polimórficos, que alteram constantemente o código para evitar a deteção por software de segurança, até mecanismos de proxy "man-in-the-middle" (homem-no-meio). Estes últimos permitem intercetar a comunicação entre o utilizador e o serviço legítimo.
De forma particularmente preocupante, a ameaça inclui técnicas para contornar a autenticação de dois fatores (2FA), um dos pilares da segurança de contas online. Ao conseguir iludir este sistema, os cibercriminosos podem roubar palavras-passe e códigos 2FA, obtendo acesso total às contas das vítimas numa questão de momentos.
O perigo escondido em emails aparentemente legítimos da Google
A investigação, cujos detalhes foram adiantados ao TugaTech pela empresa de cibersegurança KnowBe4, revela que esta ameaça de phishing explora a plataforma AppSheet da Google. O AppSheet é uma ferramenta que permite criar aplicações e automatizar fluxos de trabalho. Ao abusarem desta plataforma, os atacantes conseguem não só operar em grande escala, mas também utilizar um domínio fidedigno e legítimo nos seus emails fraudulentos: noreply@appsheet.com.
Esta tática é engenhosa, pois permite-lhes contornar muitas das proteções de email que dependem da autenticação rigorosa de domínios e de verificações de reputação. Segundo a KnowBe4, num único dia de análise, 11% de todas as ameaças globais de email que a empresa neutralizou provinham deste domínio. Destas, 98% imitavam a Meta, enquanto as restantes tinham como alvo utilizadores do PayPal.
O esquema para o levar a entregar os seus dados
Os emails fraudulentos recorrem a táticas de engenharia social bem conhecidas, como avisos urgentes sobre a segurança da conta do utilizador. O objetivo é instigar o medo de um potencial compromisso da conta para que a vítima clique num link malicioso, geralmente sob o pretexto de "submeter um recurso" ou verificar a atividade.
Ao clicar, o utilizador é redirecionado para uma página falsa, meticulosamente desenhada para se assemelhar à página oficial da Meta ou do PayPal. É aqui que as credenciais (palavra-passe e códigos 2FA) são roubadas. Os criminosos chegam a utilizar uma tática de "duplo pedido": o site falso alega que a primeira tentativa de introdução de dados foi incorreta. De acordo com a KnowBe4, esta técnica serve para encorajar a introdução correta das credenciais, introduzir confusão para afetar o pensamento crítico da vítima e permitir que o atacante compare ambas as entradas para validação adicional.
Especialistas da KnowBe4 revelam detalhes alarmantes
O TugaTech teve acesso antecipado a informações de um novo relatório da KnowBe4 sobre esta ameaça, que será publicado na íntegra na próxima sexta-feira, 23 de maio. A empresa descreve esta campanha como uma das mais sofisticadas que já visaram a Meta, precisamente pela sua capacidade de tomar controlo de uma conta de forma quase instantânea.
A utilização de um domínio legítimo da Google para o envio dos emails é um dos fatores que torna esta campanha particularmente perigosa e eficaz. Os utilizadores devem manter-se extremamente vigilantes relativamente a emails inesperados que solicitem ações urgentes ou a introdução de credenciais, mesmo que pareçam vir de fontes fidedignas. Recomenda-se sempre verificar diretamente nos sites oficiais ou aplicações qualquer alerta recebido, em vez de clicar em links presentes em emails suspeitos.
Nenhum comentário
Seja o primeiro!