.
Getty Images
Os traficantes de phishing lançaram uma torrente de e-mails indesejados baseados em imagens que incorporam códigos QR em seus corpos para contornar com sucesso as proteções de segurança e fornecer um nível de personalização para enganar os destinatários com mais facilidade, disseram os pesquisadores.
Em muitos casos, os e-mails vêm de um endereço de e-mail comprometido dentro da organização em que o destinatário trabalha, uma tática que fornece uma falsa sensação de autenticidade, disseram pesquisadores da empresa de segurança Inky. Os e-mails detectados pelo Inky instruem o funcionário a resolver problemas de segurança, como a falta de inscrição na autenticação de dois fatores ou a alterar uma senha e alertar sobre as repercussões que podem ocorrer se o destinatário não seguir adiante. Aqueles que mordem a isca e clicam no código QR são levados a um site disfarçado de legítimo usado pela empresa, mas que captura as senhas e as envia aos invasores.
Inky descreveu a abordagem da campanha como “pulverize e reze” porque os agentes de ameaças por trás dela enviam os e-mails para o maior número possível de pessoas para gerar resultados.
Existem algumas coisas que fazem esta campanha se destacar. Primeiro, os e-mails não contêm texto. Em vez disso, eles têm apenas um arquivo de imagem anexado. Isso permite que os e-mails passem despercebidos pelas proteções de segurança que analisam as palavras baseadas em texto enviadas em um e-mail. Alguns programas e serviços de e-mail, por padrão, exibem automaticamente as imagens anexadas diretamente no corpo, e alguns não fornecem nenhuma maneira de suprimi-las. Os destinatários muitas vezes não percebem que o e-mail baseado em imagem não contém texto.
Outro diferencial: as imagens incorporam um código QR que leva ao site de coleta de credenciais. Isso pode reduzir o tempo que leva para visitar o local e diminuir a chance de o funcionário perceber que algo está errado. Os códigos QR também fazem com que o site carregado preencha o endereço de e-mail exclusivo do destinatário no campo de nome de usuário. Isso adiciona outra falsa sensação de garantia de que o e-mail e o site são legítimos.
tinta
tinta
Em um artigo publicado na sexta-feira, os pesquisadores do Inky escreveram:
É importante observar que esses três e-mails de phishing com QR Code não foram enviados apenas para alguns clientes da INKY. Eles faziam parte de uma abordagem de “pulverizar e rezar”. Os phishers enviam seus e-mails para o maior número possível de pessoas (spray) e depois esperam (rezam) para que a grande maioria dos destinatários caia no truque. Neste caso, várias indústrias foram atacadas. Dos 545 e-mails anotados até agora, as vítimas pretendidas estavam nos EUA e na Austrália. Eles incluíam organizações sem fins lucrativos, várias empresas de gerenciamento de patrimônio, consultores de gerenciamento, um agrimensor, empresa de pisos e muito mais.
Há muito tempo é possível – para não mencionar uma boa prática – que pessoas preocupadas com a privacidade definam configurações de e-mail para bloquear o carregamento de imagens armazenadas remotamente. Os golpistas e bisbilhoteiros usam imagens externas para determinar se uma mensagem que eles enviaram foi aberta, já que o dispositivo do destinatário faz uma conexão com um servidor que hospeda a imagem. Gmail e Thunderbird não exibem imagens anexadas no corpo, mas Inky disse que outros clientes ou serviços sim. As pessoas que usam esses clientes ou serviços devem desativar esse recurso, se possível.
Infelizmente, é mais problemático bloquear imagens incorporadas a um e-mail. Não consegui encontrar uma configuração no Gmail para suprimir o carregamento de imagens incorporadas. O Thunderbird impede que as imagens incorporadas sejam exibidas, mas requer a leitura de todo o modo de texto sem formatação da mensagem. Isso, por sua vez, quebra a formatação útil.
Tudo isso deixa os usuários com as mesmas contramedidas que falharam por décadas. Eles incluem:
- Busque a confirmação de que uma mensagem é legítima verificando com o remetente por meios fora de banda, ou seja, por meio de um canal diferente do e-mail
- Tome cuidado extra ao inspecionar o endereço do remetente para garantir que o e-mail venha de onde afirma
- Clique no corpo de um e-mail e veja se o texto pode ser copiado e colado. Se não houver palavras baseadas em texto, desconfie ainda mais.
É fácil para as pessoas descartar ataques de phishing como não sofisticados e perpetuar o mito de que apenas pessoas desatentas se apaixonam por eles. Na verdade, estudos e evidências sugerem que o phishing está entre os meios mais eficazes e econômicos para realizar invasões de rede. Com 3,4 bilhões de e-mails de spam enviados todos os dias, de acordo com a AGG IT Services, e uma em cada quatro pessoas relatando ter clicado em um e-mail de phishing no trabalho, de acordo com Tessian, as pessoas subestimam os custos do phishing por sua própria conta e risco.
.
