Novos ataques de phising escondem-se no Office 365

Uma série persuasiva e contínua de ataques de phishing usa notificações falsas do Office 365 pedindo aos destinatários que analisem as mensagens de spam bloqueadas para roubar suas credenciais da Microsoft.

 

O que torna esses emails de phishing especialmente convincentes é o uso de quarentena messaging.microsoft.com para enviá-los a alvos em potencial e o nome de exibição que corresponde aos domínios dos destinatários.

 

Além disso, os invasores incorporaram o logotipo oficial do Office 365 e incluíram links para a declaração de privacidade da Microsoft e a política de uso aceitável no final do e-mail.

 

Felizmente, as mensagens de phishing vêm com problemas de formatação de texto e espaços extras fora do lugar que permitiriam detetar a natureza maliciosa desses e-mails em uma inspeção mais detalhada.

 

“O assunto do e-mail é ‘Notificação de Spam: 1 Novas Mensagens’, refere-se ao corpo do e-mail que informa ao destinatário que uma mensagem de spam foi bloqueada e está em quarentena para revisão”, disse o provedor de segurança de e-mail em nuvem MailGuard quem avistou esta campanha.

 

“Os detalhes da ‘Mensagem de spam evitada’ são fornecidos, com os golpistas personalizando o título do assunto como ‘[domínio da empresa] Ajuste: Despesas de transação ATUALIZAÇÃO Q3’ para criar um senso de urgência e usar uma mensagem relacionada a finanças.”

 

Os alvos têm 30 dias para revisar as mensagens em quarentena, indo ao Centro de Conformidade e Segurança da Microsoft clicando em um link embutido.

 

No entanto, em vez de aceder o portal do Office 365 ao clicar no botão ‘Revisar’, eles são enviados para uma página de destino de phishing que solicitará que eles insiram suas credenciais da Microsoft para aceder as mensagens de spam em quarentena.

 

Depois de inserir suas credenciais na forma maliciosa exibida na página de phishing, os detalhes de suas contas são enviados para servidores controlados pelo invasor.

 

Se eles forem vítimas desses truques, as credenciais da Microsoft das vítimas serão posteriormente usadas pelos cibercriminosos para assumir o controle de suas contas e obter acesso a todas as suas informações.

 

“Fornecer os detalhes de sua conta da Microsoft a cibercriminosos significa que eles têm acesso não autorizado a seus dados confidenciais, como informações de contato, calendários, comunicações por e-mail e muito mais”, acrescentou o MailGuard.

 

Alvo chamativo para ataques de phishing

 

Os usuários do Office 365 são continuamente alvos de campanhas de phishing, tentando coletar suas credenciais e usá-las em esquemas fraudulentos.

 

A Microsoft revelou em agosto que uma campanha altamente evasiva de spear-phishing teve como alvo clientes do Office 365 em várias ondas de ataques começando em julho de 2020.

 

Em março, a empresa também alertou sobre uma operação de phishing que roubou cerca de 400.000 credenciais do OWA e do Office 365 desde dezembro de 2020 e posteriormente expandiu para abusar de novos serviços legítimos para contornar as proteções de gateways de email seguros (SEGs).

 

No final de janeiro, Redmond notificou ainda mais os assinantes do Microsoft Defender ATP sobre um número crescente de ataques de phishing OAuth (phishing de consentimento) direcionados a funcionários remotos.

 

Se for bem-sucedido, o impacto dos ataques de phishing varia de esquemas de roubo de identidade e fraude, incluindo, mas não se limitando a, ataques de comprometimento de e-mail comercial (BEC).

 

Por exemplo, desde o ano passado, o FBI tem alertado sobre golpistas de BEC que abusam de serviços de e-mail em nuvem populares, incluindo Microsoft Office 365 e Google G Suite, em Notificações Privadas da Indústria emitidas em março e abril de 2020.

 

A US Federal Trade Commission (FTC) também revelou que o número de relatórios de roubo de identidade dobrou no ano passado em comparação com 2019, atingindo um recorde de 1,4 milhão de relatórios em um único ano.

Partilhe este artigo