Para roubar credenciais de e-mail corporativo de funcionários da empresa, os invasores devem primeiro passar pelas soluções antiphishing nos servidores de e-mail da empresa. Via de regra, usam serviços da Web legítimos (cada vez mais específicos) como o Google Apps Script, plataforma baseada em JavaScript.
O que é o Apps Script e como os invasores o usam?
Apps Script é uma plataforma em JavaScript para automatizar tarefas nos produtos do Google (por exemplo, criar complementos para o Google Docs), bem como em aplicativos de terceiros. Essencialmente, é um serviço para criar scripts e executá-los na infraestrutura do Google.
No phishing de email, os invasores usam o serviço para redirecionamentos. Em vez de inserir a URL de um site malicioso diretamente em uma mensagem, os cibercriminosos podem esconder um link para um script. Dessa forma, podem contornar as soluções antiphishing no nível do servidor de e-mail: um hiperlink para um site legítimo do Google com boa reputação passa pela maioria dos filtros. Como um benefício auxiliar para os cibercriminosos, os sites de phishing não detectados podem permanecer no ar por mais tempo. Esse esquema também dá aos invasores a flexibilidade de alterar o script, se necessário (no caso de as soluções de segurança pegarem) e de experimentar a entrega de conteúdo (por exemplo, enviar vítimas para diferentes versões do site dependendo de sua região).
Exemplo de golpe usando o Google Apps Script
Tudo o que os invasores precisam fazer é fazer com que o usuário clique em um link. Recentemente, o pretexto mais comum era uma “caixa de entrada cheia”. Em teoria, isso parece plausível.
Na prática, os invasores geralmente são descuidados e deixam sinais de fraude que devem ser óbvios até mesmo para usuários que não estão familiarizados com notificações reais:
● O e-mail aparentemente é do Microsoft Outlook, mas o endereço de e-mail do remetente tem um domínio estrangeiro. Uma notificação real sobre uma caixa de entrada cheia deve vir do servidor interno do Exchange. (Sinal de bônus: o nome do remetente, Microsoft Outlook, está sem um espaço e usa um zero em vez da letra O.)
● O link, que aparece quando o cursor passa sobre “Corrigir nas configurações de armazenamento”, leva a um site do Google Apps Script:
● As caixas de correio não excedem repentinamente seus limites. O Outlook começa a alertar os usuários de que o espaço está se esgotando muito antes de eles atingirem o limite. Excedê-lo repentinamente em 850 MB provavelmente significaria receber essa quantidade de spam de uma vez, o que é extremamente improvável.
De qualquer maneira, aqui está um exemplo de uma notificação legítima do Outlook:
● O link “Corrigir nas configurações de armazenamento” redireciona para um site de phishing. Embora, neste caso, seja uma cópia bastante convincente da página de login da interface web do Outlook, uma olhada na barra de endereço do navegador revela que a página está hospedada em um site falsificado, não na infraestrutura da empresa.
Como evitar cair no golpe
A experiência mostra que os e-mails de phishing não precisam necessariamente conter links de phishing. Portanto, a proteção corporativa confiável deve incluir recursos antiphishing tanto no nível do servidor de email]e nos computadores dos usuários.
Além disso, a proteção responsável precisa incluir[KASAP placeholder] treinamento contínuo de conscientização do funcionário [/KASAP placeholder], abrangendo ameaças cibernéticas e golpes de phishing atuais.