Nos últimos anos, as notícias sobre infecções em redes corporativas a partir de e-mails têm sido muito comuns (e geralmente ligadas a ransomware que demandam pagamento de resgate). Portanto, não é uma surpresa que os golpistas usem esse recurso periodicamente para tentar extrair credenciais de contas corporativas, convencendo os funcionários da empresa a executar uma verificação em suas caixas de correio.
A estratégia é destinada a pessoas que conhecem a ameaça potencial de malware em um e-mail, mas não têm discernimento suficiente para lidar com ela. O pessoal de segurança da informação deveria explicar os truques para os funcionários e usar exemplos para ilustrar o que os empregados devem observar para evitar cair nas mãos de cibercriminosos.
E-mail de phishing
Essa mensagem fraudulenta emprega o velho truque de intimidação da vítima. Você pode ver isso diretamente no cabeçalho, onde está escrito “Alerta de vírus”, seguido de três pontos de exclamação. Por mais que a pontuação seja insignificante, é a primeira coisa que deve indicar ao destinatário que algo pode estar errado. A pontuação desnecessária em um e-mail de trabalho é um sinal de drama ou de falta de profissionalismo. De qualquer forma, é inadequado em uma notificação supostamente destinada a transmitir informações sobre uma ameaça.
A primeira coisa que o destinatário deve questionar é: Quem enviou a mensagem? O e-mail afirma que a falta de uma ação resultará no bloqueio da conta do destinatário. Pode ser lógico supor que a mensagem foi enviada pelo serviço de TI, que presta suporte do servidor de e-mail corporativo, ou por funcionários do provedor de serviços de e-mail.
Mas é importante entender que nenhum provedor ou serviço interno exigiria uma ação do usuário para verificar o conteúdo da caixa de correio. A verificação ocorre automaticamente no servidor de e-mail. Além disso, a “atividade de vírus” raramente ocorre dentro de uma conta. Mesmo se alguém enviasse um vírus, o destinatário teria que fazer o download e executá-lo. A infecção acontece no computador, não na conta de e-mail.
Voltando à primeira pergunta, uma olhada no remetente levanta duas bandeiras vermelhas de alerta imediatas. Primeiro, o e-mail foi enviado de uma conta do Hotmail, enquanto uma notificação legítima exibia o domínio da empresa ou provedor. Segundo: a mensagem afirma vir da “Equipe de segurança de e-mail”. Se a empresa do destinatário usar um provedor de serviços de e-mail de terceiros, seu nome deverá aparecer na assinatura. E se o servidor de e-mail estiver na infraestrutura corporativa, a notificação virá da TI interna ou do serviço de segurança da informação – e as chances de uma equipe inteira ser responsável exclusivamente pela segurança do e-mail são mínimas.
Depois, o link. A maioria dos clientes de e-mail mostra a URL oculta por trás do hiperlink. Se o destinatário for solicitado a clicar em um verificador de e-mail hospedado em um domínio que não pertence à sua empresa nem ao provedor de e-mail, é quase certo que se trata de phishing.
Site de phishing
O site parece algum tipo de scanner de e-mail online. Para parecer autêntico, ele exibe os logotipos de vários fornecedores de antivírus. O cabeçalho ainda possui o nome da empresa do destinatário, que visa remover qualquer dúvida sobre de quem é a ferramenta. O site simula primeiro uma verificação e depois a interrompe com a mensagem mal escrita “Confirme sua conta abaixo para concluir a verificação de e-mail & excluir todos os arquivos infectados”. A senha da conta é necessária para realizar isso, é claro.
Para verificar a natureza do site, comece examinando o conteúdo da barra de endereços do navegador. Em primeiro lugar, conforme mencionado acima, não está no domínio certo. Em segundo lugar, a URL provavelmente contém o endereço de e-mail do destinatário. Isso por si só é bom – o ID do usuário pode ter sido passado por meio da URL. Mas, em caso de dúvida sobre a legitimidade do site, substitua o endereço por caracteres arbitrários (mas mantenha o símbolo @ para manter a aparência de um endereço de e-mail).
Sites desse tipo usam o endereço passado pelo link no e-mail de phishing para preencher os espaços em branco no template da página. Para fins de experimentação, usamos o endereço inexistente vítima@suaempresa.org, e o site devidamente substituiu “suaempresa” no nome do scanner e o endereço completo no nome da conta, no que pareceu o início de uma varredura inexistente de anexos em e-mails inexistentes. Repetindo a experiência com um endereço diferente, vimos que os nomes dos anexos em cada “scan” eram os mesmos.
Outra inconsistência é que a verificação supostamente checa o conteúdo da caixa de correio sem autenticação. Então, por que ela precisa da senha?
Como proteger seus funcionários contra phishing
Analisamos detalhadamente os sinais de phishing no site de e-mail e no site falso do scanner. A simples exibição desta postagem para os funcionários dará a eles uma ideia aproximada do que procurar. Mas isso é apenas a ponta do iceberg. Alguns e-mails falsos são mais sofisticados e mais difíceis de detectar.
Portanto, recomendamos treinamento contínuo de conscientização para os funcionários sobre as mais recentes ciberameaças – por exemplo, usando nossa Kaspersky Automated Security Awareness Platform.
Além disso, use soluções de segurança capazes de detectar e-mails de phishing no servidor de e-mail e bloquear redirecionamentos para sites de phishing nas estações de trabalho. O Kaspersky Endpoint Security for Business faz as duas coisas. Além disso, oferecemos uma solução que aprimora os mecanismos de proteção do Microsoft Office 365.