CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Ciberataques exploram DocuSign para roubar logins do Microsoft Outlook

Um ataque direcionado de phishing tenta derrubar uma grande empresa de pagamentos dos EUA usando páginas falsas do DocuSign

Além disso, um ataque direcionado de phishing tenta derrubar uma grande empresa de pagamentos dos EUA

Uma sofisticada campanha de phishing direcionada a uma grande empresa de soluções integradas de pagamento fez uso da plataforma de assinatura eletrônica DocuSign e de um domínio de e-mail comprometido de um fornecedor para contornar as medidas de segurança tradicionais de e-mail. A empresa, de acordo com os pesquisadores da Armorblox, possui capital aberto e está localizada na América do Norte.

A campanha espalhou e-mails aparentemente inócuos em nome do fornecedor comprometido, com o objetivo de roubar credenciais de login da Microsoft, que poderiam ser usados para ataques de engenharia social ou para escalonamento de ameaça, revelaram os pesquisadores.

Criminosos se disfarçam de plataforma de assinatura eletrônica DocuSign

Cerca de 550 membros da empresa vítima receberam o mesmo e-mail em suas caixas de entrada, informam os pesquisadores. O nome do remetente era “Hannah Mcdonald”, e a linha de assunto e o corpo do e-mail eram bem simples e diretos, como pode ser visto na imagem abaixo, e se passam por uma “revisão de contrato”:

fonte: Armorblox

Aqueles que clicaram no link do e-mail receberam uma prévia de um documento eletrônico que simulava um documento enviado por meio do DocuSign, um software bastante utilizado de assinatura eletrônica.

A visualização parecia uma página de destino legítima do DocuSign, com um aviso para que o usuário “revisasse e assinasse” o documento; a página também indicava que outras partes já haviam adicionado suas assinaturas.

A visualização foi hospedada no Axure, observaram os pesquisadores – um portal válido de prototipagem baseado em nuvem.

Curiosamente, assim como na plataforma legítima, a página forjada continha um aviso de segurança cibernética, aconselhando o alvo a não compartilhar o acesso com outras pessoas, em letras miúdas.

Aqueles que clicaram para visualizar o documento foram apresentados a uma página de login único da Microsoft. Quaisquer credenciais de login inseridas nesta página acabariam nas mãos dos invasores.

Segurança básica de e-mail não protege usuários

Os e-mails de phishing escaparam com sucesso das medidas tradicionais de segurança de e-mail, em parte porque vieram de um domínio legítima pertencente à Term Brokers Insurance.

O relatório observou que “uma verificação rápida do endereço de domínio não teria alertado o usuário final sobre uma possível atividade fraudulenta devido à validade do domínio. No setor de pagamentos, esse domínio teria passado na maioria das políticas de segurança personalizadas, aumentando ainda mais a chance de os usuários finais serem vítimas desse sofisticado ataque de phishing.”

O nível de confiança de spam (SCL) da Microsoft – uma medida da legitimidade aparente de qualquer e-mail – atribuiu a esses e-mails maliciosos uma pontuação de ‘-1’. -1 é o menor valor possível, permitindo que uma mensagem pule o sistema de filtragem automático, pois, em teoria, “se trata de um remetente seguro, foi enviado para um destinatário seguro ou é de um servidor de origem de e-mail na Lista de Permissões de IP.”

Aproveitar serviços de nuvem confiáveis ​​também é uma tática cada vez mais comum para evitar filtros automáticos de segurança de e-mail. Afinal, um link benigno enviado de um aplicativo aparentemente conhecido e confiável não contém conteúdo malicioso inerente e consegue passar despercebido pelas tecnologias de segurança de e-mail.

Somente nos primeiros três meses de 2021, os pesquisadores encontraram 7 milhões de e-mails maliciosos enviados do Microsoft 365 e impressionantes 45 milhões enviados dos serviços e infraestrutura em nuvem do Google, informou a Proofpoint, destacando que os cibercriminosos usaram empresas como Office 365, Azure, OneDrive, SharePoint, G-Suite e Firebase para enviar e-mails de phishing e ataques de host.

O relatório da Armorblox é concluído com a recomendação de que alvos em potencial permaneçam vigilantes quanto à filtragem básica de segurança – não abrindo e-mails que não estão esperando, observando ataques direcionados e usando ferramentas como gerenciadores de senhas e autenticação multifator para evitar serem vítimas de golpes.

Quer manter a sua empresa segura contra ataques de phishing? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Leia outros artigos