.
A equipe de inteligência de ameaças da Unidade 42 de Palo Alto quer chamar a atenção do setor de segurança para uma tática cada vez mais comum usada por phishers para coletar credenciais das vítimas.
Os seguranças de informações dizem que identificaram criminosos abusando de entradas de atualização em cabeçalhos HTTP em cerca de 2.000 campanhas de phishing em larga escala entre maio e julho deste ano, embora a prática tenha sido observada ao longo do ano.
Incorporar URLs maliciosos no cabeçalho de resposta de uma página da web, neste caso, significa que os visitantes das páginas da web são automaticamente redirecionados para páginas maliciosas. Uma vez que isso é feito, os invasores normalmente falsificam as páginas de login de fornecedores conhecidos para roubar as senhas do usuário.
O ataque começa como qualquer outro incidente baseado em phishing. Um e-mail é enviado a um alvo contendo um link que normalmente imita um domínio legítimo ou comprometido, tornando o trabalho de detectar um mais difícil.
Se um usuário clicar nesse link (falha número um), ele será direcionado para uma página que o invasor já instruiu a redirecionar para outra após um período de, digamos, alguns segundos — embora isso também possa ser feito imediatamente.
Como o campo de atualização foi preenchido com o código que redireciona os visitantes para URLs alternativas, esse processo não só é executado automaticamente contra a vontade do usuário, mas também antes mesmo de a página inicial da web ser carregada, já que o cabeçalho de resposta é manipulado antes do conteúdo HTML ser carregado.
“Os URLs originais e de destino geralmente são encontrados em domínios e hosts legítimos ou comprometidos, uma técnica que geralmente é eficaz para ocultar sequências de URL maliciosas”, disseram Yu Zhang, Zeyu You e Wei Wang, da Unidade 42, em um comunicado.
“Além disso, os invasores frequentemente usam domínios legítimos que oferecem serviços de encurtamento de URL, rastreamento ou marketing de campanha.”
Ao adicionar links profundos à briga, os criminosos permitem que o formulário malicioso seja parcialmente pré-carregado com os detalhes do usuário e, juntas, essas táticas preparam um ataque para maior sucesso, acreditam os pesquisadores.
Claro, isso precisa ser empacotado em um e-mail inicial convincente, o que – se examinarmos alguns dos exemplos que a Unit 42 usou em seus artigos – não são muito comuns aqui. Você esperaria que o provedor de e-mail de uma organização enviasse e-mails com três pontos de exclamação sucessivos direto para a pasta de spam, por exemplo. No entanto, aparentemente esse nem sempre é o caso!!!
(Alguns dos outros exemplos que a Unidade 42 usou em seu relatório pareciam ter sido compostos de forma mais profissional.)
De acordo com o relatório, organizações do setor empresarial e econômico são as mais visadas, com 36,2% de todas as tentativas se concentrando nesse segmento da indústria.
A categoria abrangente “Outras Indústrias” da Unit 42 ficou em segundo lugar com 32,9% dessas tentativas e os serviços financeiros ficaram em seguida com uma participação de 12,9% dos ataques. Governo, saúde e tecnologia ficaram atrás deles, cada um com pequenas participações.
“Em nossa pesquisa, não encontramos sites legítimos exibindo esse comportamento”, diz o relatório. “Embora o cabeçalho de atualização possa ser útil em situações específicas, como atualização dinâmica de sites, vemos mais comumente outros métodos, como técnicas baseadas em JavaScript ou tecnologias de push do lado do servidor, como WebSockets.
“Por fim, as organizações devem estar mais cientes do potencial de uso malicioso de cabeçalhos de atualização HTTP.”
De acordo com o relatório anual mais recente do Centro de Reclamações sobre Crimes na Internet (IC3) do FBI [PDF]o phishing continua sendo a forma mais comum de crime cibernético por uma distância enorme, apesar de algum declínio leve e consistente desde 2021, com cerca de 300.000 casos relatados no ano passado. Isso é apenas nos EUA e apenas aqueles que as pessoas identificaram e se preocuparam em relatar.
O phishing é frequentemente usado em esquemas de comprometimento de e-mail comercial (BEC), que, de acordo com o mesmo relatório do FBI, levaram a perdas anuais superiores a US$ 2,9 bilhões em 2023.
Com tanto dinheiro em jogo e o claro potencial de sucesso dos criminosos com phishing, não é de se admirar que eles adotem truques cada vez mais sofisticados para continuar enganando os usuários finais. ®
.
