Por mais perigoso que seja quando os consumidores pensam que não são importantes o suficiente para interessar aos cibercriminosos, é pior ouvir o mesmo dos proprietários de pequenas e médias empresas. Quando negligenciam a proteção básica, atendem perfeitamente aos interesses dos cibercriminosos – seus alvos nem sempre são o que você espera. Um exemplo vem de uma mensagem que caiu recentemente em nossa armadilha de e-mails suspeitos: phishing com o objetivo de hackear uma conta de provedor de serviço de e-mail (ESP, na sigla em inglês) – para listas de e-mail.
Como funciona o phishing de serviço de e-mail
O golpe começa com um funcionário da empresa recebendo uma mensagem confirmando o pagamento de uma assinatura de um ESP. O link na mensagem deve fornecer ao destinatário acesso ao comprovante de compra. Se o destinatário for realmente um cliente do ESP (e o phishing tiver como alvo clientes reais), é provável que cliquem, na esperança de descobrir mais sobre o pagamento fora do comum.
Embora o hiperlink pareça levar a uma página ESP, na verdade é para um site falso muito parecido com um legítimo.
Bom, os leitores não ficarão surpresos ao saber que os dados inseridos na página falsa vão direto para os cibercriminosos. Observe, no entanto, que, além de levar a página errada, o site falso transmite os dados em um canal desprotegido. Os invasores nem se preocuparam em replicar o CAPTCHA, embora tenham inserido um exemplo no campo do e-mail. Deveríamos ver uma bandeira no canto inferior direito também. Mas a maioria dos usuários provavelmente não notará essas discrepâncias.
Por que perder o acesso a uma conta ESP é perigoso
Na melhor das hipóteses, tendo obtido o controle sobre uma conta ESP, os invasores usarão a lista de endereços de e-mail do cliente para enviar spam. No entanto, as listas de mala direta específicas do setor de ESP alcançam um preço mais alto no mercado paralelo do que simples coleções de endereços de e-mail aleatórios; conhecer a linha de trabalho de uma empresa ajuda os cibercriminosos a personalizar seu spam.
Dada a especialidade de phishing dos cibercriminosos, é provável que todos nas listas de roubos recebam um e-mail que parece ter vindo da empresa. Nesse ponto, quer o destinatário tenha se inscrito em um boletim informativo ou se realmente é um cliente, é provável que ele abra uma mensagem, a leia e até mesmo clique em um link nela. O remetente não parece suspeito.
Métodos de ocultamento
Estudando o e-mail de phishing em detalhes, descobrimos que havia sido enviado por um serviço de correspondência, mas um diferente (um concorrente do ESP de onde ele supostamente provinha). Para saber a lógica por trás dessa decisão, consulte nossa postagem “Phishing por meio de serviços de e-mail marketing“. Curiosamente, para prolongar a duração do golpe, os cibercriminosos até criaram uma página de destino para sua “empresa de marketing”. (O título da página, “Simple House Template“, não é particularmente convincente, no entanto.)
O exposto acima sugere que os invasores podem ter conhecimento detalhado dos mecanismos de vários serviços de correspondência de e-mail e podem atacar clientes de outros ESPs também.
Como se proteger contra phishing
Para evitar cair em golpes, siga as dicas padrão:
- Evite clicar em links em mensagens inesperadas, especialmente quando você pede para fazer login em um serviço. Mesmo que a mensagem pareça legítima, basta abrir um navegador e digitar manualmente o nome do site.
- Verifique a segurança do site. Se o seu navegador não reconhecer um site como seguro, alguém pode interceptar seu nome de usuário e senha.
- Aprenda como detectar os sinais padrão de phishing e, em seguida, ensine toda a sua equipe a fazer o mesmo. Você não precisa criar suas próprias turmas de treinamento; as plataformas de treinamento online estão disponíveis para isso.
- Use soluções especializadas para filtrar spam e phishing de e-mail corporativo.
- Instale e atualize as soluções de segurança em todos os dispositivos de trabalho, de modo que mesmo se alguém clicar em um link de phishing, o perigo será evitado.