Phish imobiliário engole milhares de credenciais do Microsoft 1,000

Milhares de credenciais do Microsoft 365 foram descobertas armazenadas em texto simples em servidores de phishing, como parte de uma campanha incomum e direcionada de coleta de credenciais contra profissionais do setor imobiliário. Os ataques mostram o risco crescente e evolutivo que as combinações tradicionais de nome de usuário e senha apresentam, dizem os pesquisadores, especialmente à medida que o phishing continua a crescer em sofisticação, evitando a segurança básica do e-mail. 

Pesquisadores da Ironscales descobriram a ofensiva, na qual os ciberataques se passaram por funcionários de dois conhecidos fornecedores de serviços financeiros no setor imobiliário: First American Financial Corp. e United Wholesale Mortgage. Os cibercriminosos estão usando as contas para enviar e-mails de phishing para corretores de imóveis, advogados imobiliários, agentes de títulos e compradores e vendedores, disseram analistas, na tentativa de direcioná-los para páginas de login falsificadas do Microsoft 365 para capturar credenciais.

Os e-mails alertam os alvos de que documentos anexados precisavam ser revisados ​​ou que possuem novas mensagens hospedadas em servidor seguro, segundo relatório. Postagem de 15 de setembro na campanha de Ironscales. Em ambos os casos, os links incorporados direcionam os destinatários para páginas de login falsas, solicitando-lhes que entrem no Microsoft 365.

Uma vez na página maliciosa, os pesquisadores observaram uma reviravolta incomum no processo: os invasores tentavam aproveitar ao máximo o tempo que passavam com as vítimas, tentando descobrir diversas senhas de cada sessão de phishing.

“Cada tentativa de enviar essas 365 credenciais retornou um erro e levou o usuário a tentar novamente”, de acordo com o artigo dos pesquisadores. “Os usuários geralmente enviam as mesmas credenciais pelo menos mais uma vez antes de tentarem variações de outras senhas que possam ter usado no passado, fornecendo uma mina de ouro de credenciais para os criminosos venderem ou usarem em ataques de força bruta ou de preenchimento de credenciais para acessar contas financeiras ou de mídia social populares.

O cuidado tomado na segmentação das vítimas com um plano bem pensado é um dos aspectos mais notáveis ​​da campanha, disse Eyal Benishti, fundador e CEO da Ironscales, à Dark Reading.

“Isso vai atrás pessoas que trabalham no setor imobiliário (agentes imobiliários, corretores de títulos, advogados imobiliários), usando um modelo de e-mail de phishing que falsifica uma marca muito familiar e um apelo à ação familiar ('revisar estes documentos seguros' ou 'ler esta mensagem segura')”, diz ele.

Não está claro até que ponto a campanha pode se espalhar, mas a investigação da empresa mostrou que pelo menos milhares de pessoas foram vítimas de phishing até agora.

“O número total de pessoas vítimas de phishing é desconhecido, investigamos apenas alguns casos que cruzaram nossos clientes”, diz Benishti. “Mas apenas a partir da pequena amostra que analisamos, foram encontrados mais de 2,000 conjuntos exclusivos de credenciais em mais de 10,000 tentativas de envio (muitos usuários forneceram as mesmas credenciais ou credenciais alternativas várias vezes).”

O risco para as vítimas é elevado: as transações relacionadas com imóveis são frequentemente alvo de fraudes sofisticadas, especialmente transações envolvendo empresas de títulos imobiliários.

“Com base em tendências e estatísticas, esses invasores provavelmente desejam usar as credenciais para interceptar/dirigir/redirecionar transferências eletrônicas associadas a transações imobiliárias”, de acordo com Benishti.

Links seguros da Microsoft falham no trabalho

Também notável (e lamentável) nesta campanha em particular, um controlo básico de segurança aparentemente falhou.

Na rodada inicial de phishing, o URL no qual os alvos foram solicitados a clicar não tentou se esconder, observaram os pesquisadores – ao passar o mouse sobre o link, um URL com bandeira vermelha foi exibido: “https://phishingsite.com /folde…[ponto]shtm.”

No entanto, as ondas subsequentes ocultaram o endereço atrás de um URL de links seguros – um recurso encontrado no Microsoft Defender que supostamente verifica URLs em busca de links maliciosos. O Safe Link substitui o link por um URL diferente usando uma nomenclatura especial, uma vez que o link é verificado e considerado seguro.

Nesse caso, a ferramenta apenas tornou mais difícil inspecionar visualmente o verdadeiro “isso é um phishing!” link e também permitiu que as mensagens passassem pelos filtros de e-mail com mais facilidade. A Microsoft não respondeu a um pedido de comentário.

“O Safe Links tem vários pontos fracos conhecidos e gerar uma falsa sensação de segurança é o ponto fraco significativo nesta situação”, diz Benishti. “O Safe Links não detectou nenhum risco ou engano associado ao link original, mas reescreveu o link como se tivesse. Os usuários e muitos profissionais de segurança ganham uma falsa sensação de segurança porque existe um controle de segurança, mas esse controle é amplamente ineficaz.”

Também digno de nota: nos e-mails da United Wholesale Mortgage, a mensagem também foi sinalizada como “Notificação de e-mail seguro”, incluía uma isenção de responsabilidade de confidencialidade e exibia um banner falso “Protegido pela criptografia Proofpoint”.

Ryan Kalember, vice-presidente executivo de estratégia de segurança cibernética da Proofpoint, disse que sua empresa não é estranha ao risco de sequestro de marca, acrescentando que o uso falso de seu nome é na verdade uma técnica conhecida de ataque cibernético que os produtos da empresa procuram.

É um bom lembrete de que os usuários não podem confiar na marca para determinar a veracidade de uma mensagem, observa ele: “Os atores da ameaça muitas vezes fingem ser marcas bem conhecidas para atrair seus alvos a divulgar informações”, diz ele. “Eles também costumam se passar por fornecedores de segurança conhecidos para adicionar legitimidade aos seus e-mails de phishing.”

Até os bandidos cometem erros

Enquanto isso, podem não ser apenas os phishers OG que estão se beneficiando das credenciais roubadas.

Durante a análise da campanha, os pesquisadores detectaram nos e-mails uma URL que não deveria estar lá: um caminho que aponta para um diretório de arquivos de computador. Dentro desse diretório estavam os ganhos ilícitos dos cibercriminosos, ou seja, cada combinação de e-mail e senha enviada para aquele site de phishing específico, mantida em um arquivo de texto simples que qualquer pessoa poderia ter acessado.

“Isso foi totalmente um acidente”, diz Benishti. “O resultado de um trabalho desleixado ou, mais provavelmente, de ignorância, se eles estiverem usando um kit de phishing desenvolvido por outra pessoa – há muitos deles disponíveis para compra no mercado negro.”

Os servidores de páginas da web falsas (e arquivos de texto não criptografado) foram rapidamente desligados ou removidos, mas, como observou Benishti, é provável que o kit de phishing que os invasores estão usando seja responsável pela falha de texto não criptografado – o que significa que eles “continuarão a disponibilizar suas credenciais roubadas”. Para o mundo."

Credenciais roubadas e mais sofisticação alimentam o frenesi do phishing

A campanha coloca em perspectiva mais ampla a epidemia de phishing e coleta de credenciais – e o que isso significa para o futuro da autenticação, observam os pesquisadores.

Darren Guccione, CEO e cofundador da Keeper Security, afirma que o phishing continua a evoluir em termos do seu nível de sofisticação, que deve funcionar como um alerta de clarim para empresas, dado o elevado nível de risco.

“Atores mal-intencionados em todos os níveis estão adaptando golpes de phishing usando táticas estéticas, como modelos de e-mail de aparência realista e sites maliciosos, para atrair suas vítimas e, em seguida, assumir o controle de suas contas alterando as credenciais, o que impede o acesso do proprietário válido”, ele diz a Dark Reading. “Em um ataque de falsificação de identidade de fornecedor [como este], quando os cibercriminosos usam credenciais roubadas para enviar e-mails de phishing de um endereço de e-mail legítimo, essa tática perigosa é ainda mais convincente porque o e-mail vem de uma fonte familiar.”

A maioria dos phishings modernos também pode contornar gateways de e-mail seguros e até mesmo falsificar ou subverter fornecedores de autenticação de dois fatores (2FA), acrescenta Monnia Deng, diretora de marketing de produto da Bolster, enquanto a engenharia social em geral é extraordinariamente eficaz em uma época de nuvem, mobilidade e trabalho remoto.

“Quando todos esperam que a sua experiência online seja rápida e fácil, o erro humano é inevitável e estas campanhas de phishing estão a tornar-se mais inteligentes”, diz ela. Ela acrescenta que três macrotendências são responsáveis ​​pelos números recordes de ataques relacionados com phishing: “A mudança alimentada pela pandemia para plataformas digitais para a continuidade dos negócios, o crescente exército de script kiddies que podem facilmente comprar kits de phishing ou mesmo comprar phishing como forma de serviço de assinatura e a interdependência de plataformas tecnológicas que poderiam criar um ataque à cadeia de suprimentos a partir de um e-mail de phishing.”

Assim, a realidade é que a Dark Web hospeda grandes caches de nomes de usuários e senhas roubadas; despejos de big data não são incomuns e, por sua vez, estimulam não apenas ataques de preenchimento de credenciais e de força bruta, mas também esforços adicionais de phishing.

Por exemplo, é possível que os agentes da ameaça tenham usado informações de uma violação recente da First American Financial para comprometer a conta de e-mail que usaram para enviar os phishing; esse incidente expôs 800 milhões de documentos contendo informações pessoais.

“As violações ou vazamentos de dados têm uma meia-vida mais longa do que as pessoas pensam”, diz Benishti. “A primeira violação financeira americana aconteceu em maio de 2019, mas os dados pessoais expostos podem ser usados ​​como arma anos depois.”

Para frustrar esse mercado movimentado e os aproveitadores que nele operam, é hora de olhar além da senha, acrescenta.

“As senhas exigem complexidade e frequência de rotação cada vez maiores, levando ao esgotamento da segurança”, diz Benishti. “Muitos usuários aceitam o risco de ficarem inseguros com o esforço para criar senhas complexas porque fazer a coisa certa é muito complexo. A autenticação multifator ajuda, mas não é uma solução à prova de balas. É necessária uma mudança fundamental para verificar se você é quem diz ser no mundo digital e obter acesso aos recursos de que precisa.”

Como combater o tsunami de phishing

Com as abordagens generalizadas sem senha ainda distantes, Kalember da Proofpoint diz que os princípios básicos de conscientização do usuário são o ponto de partida no combate ao phishing.

“As pessoas devem abordar todas as comunicações não solicitadas com cautela, especialmente aquelas que solicitam uma ação do usuário, como baixar ou abrir um anexo, clicar em um link ou divulgar credenciais, como informações pessoais ou financeiras”, diz ele.

Além disso, é fundamental que todos aprendam e pratiquem uma boa higiene de senhas em todos os serviços que usam, acrescenta Benishti: “E se você for notificado de que suas informações podem ter sido envolvidas em uma violação, redefina todas as suas senhas para cada serviço que você usa . Caso contrário, os invasores motivados terão maneiras mais inteligentes de correlacionar todos os tipos de dados e contas para conseguir o que desejam.”

Além disso, a Ironscales recomenda testes regulares de simulação de phishing para todos os funcionários e apresenta um conjunto básico de sinais de alerta a serem observados:

• Os usuários poderiam ter identificado este ataque de phishing observando atentamente o remetente
• Certifique-se de que o endereço de envio corresponda ao endereço de retorno e que o endereço seja de um domínio (URL) que geralmente corresponde à empresa com a qual eles lidam.
• Procure erros de ortografia e gramática.
• Passe o mouse sobre os links e veja o URL/endereço completo do destino, veja se parece incomum.
• Sempre tenha muito cuidado com sites que solicitam credenciais não associadas a eles, como o Microsoft 365 ou o login do Google Workspace.