Golpe usa Google Drive para roubar credenciais de empresas

Empresa de cibersegurança Check Point identificou ataques de phishing no Google Cloud Services

por Katarina Bandeira ter, 21/07/2020 - 11:02
Freepik Cibercriminosos enviam link suspeito em PDF Freepik

Hackers estão usando o serviço de compartilhamento em nuvem Google Cloud para roubar senhas e outras informações de usuários. De acordo com a empresa de cibersegurança Check Point, os cibercriminosos ocultam ataques de phishing ao enviar documentos PDF para o Google Drive, com um link suspeito. A página de phishing solicita credenciais do Office 365, levando a um relatório em PDF real publicado por uma renomada empresa global de consultoria.

 A página de phishing está hospedada no Google Cloud Storage, porém o código-fonte malicioso é rastreado para um endereço IP ucraniano.

De acordo com os pesquisadores da Check Point, ao utilizar recursos avançados de provedores renomados com Google Cloud ou Microsoft Azure, os atacantes conseguem disfarçar suas ações maliciosas, além de não serem pegos pelos alertas nas páginas de busca, como domínios ou sites de aparência suspeita e sem um certificado HTTPS confiável. A seguir, um exemplo de phishing usando recursos avançados do GCP, o Google Functions, enganando o usuário por ser um site confiável.

De acordo com os pesquisadores da Check Point o documento PDF era carregado no Google Drive, incluía um link para uma página de phishing hospedada em storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, que solicitava que o usuário fizesse o acesso ao e-mail do Office 365 ou da organização.

Ao escolher uma das opções, uma janela pop-up com a página de login do Outlook era exibida. Após a inserção das credenciais, o usuário era levado a um relatório em PDF real publicado por uma renomada empresa global de consultoria, feita para passar credibilidade. No entanto, as informações eram passadas para os atacantes, que usavam um endereço IP ucraniano (31.28.168 [.] 4). 

Figura 1: Página de phishing solicitando que o usuário efetue login com suas credenciais do Office 365

Figura 2: Relatório em PDF publicado por uma renomada empresa global de consultoria

Figura 3: código malicioso da página de phishing

Dicas para permanecer protegido:

Cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos.

Ter cautela com os arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que a pessoa normalmente não faria.

Verificar se as compras online de produtos são de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, procurar no Google a loja online desejada e clicar no link na página de resultados do Google.

Cuidado com as ofertas "especiais" como "Uma cura exclusiva para o Coronavírus por US﹩ 150", geralmente, não é uma oportunidade de compra confiável. Não há cura definitiva no momento (vacinas estão sendo testadas) para o Coronavírus e, mesmo que houvesse, isto definitivamente não seria oferecido por e-mail.

Certifique-se de não reutilizar senhas entre aplicativos e contas diferentes.

COMENTÁRIOS dos leitores