Saiba como os ataques de phishing exploraram contas do Amazon Web Services

As campanhas de phishing podem comprometer os dados de negócios e usar a plataforma em nuvem da Amazon para lançar novos ataques, diz KnowBe4.

A Amazon é um alvo maduro para exploração em campanhas de phishing porque a empresa tem uma presença enorme em muitas áreas diferentes. A maioria dos e-mails de phishing que se fazem passar pela Amazon são direcionados a consumidores que usam a empresa no varejo. Mas alguns são projetados para enganar a Amazon no nível empresarial. Uma série de ataques de phishing recentes tentou tirar proveito de organizações que usam Amazon Web Services (AWS). Em uma postagem de blog publicada na segunda-feira , o treinador de segurança KnowBe4 descreve como esses emails de phishing se mostraram bastante convincentes.

Em uma campanha de phishing relatada ao KnowBe4, os invasores criaram um golpe básico e sem enfeites para colher as credenciais dos usuários da AWS. As mensagens tinham um design limpo e simples, semelhante às notificações regulares por e-mail que as pessoas receberiam da Amazon e outras empresas.

O aviso nos e-mails combinava o tipo certo de urgência com o tipo certo de jargão, alegando que a Amazon não foi capaz de validar detalhes importantes e que o destinatário precisava confirmar suas informações para remover uma restrição de limite de conta.

Mesmo com um olhar cuidadoso, os detalhes ajudaram os e-mails a parecerem legítimos. O rodapé continha exatamente o tipo de informação que alguém esperaria encontrar, incluindo os Termos de Uso usuais. O endereço no campo De usou uma coleção aleatória de letras, acrônimos e abreviações para criar um domínio semelhante com credibilidade.

aws-account-under-review-knowbe4.jpg
Imagem: KnowBe4

Além disso, os criminosos por trás deste usaram a própria AWS para hospedar a página de destino com o mesmo nome de domínio listado no campo De. O falso domínio AWS foi até registrado por meio do próprio registrador de domínio da Amazon no mesmo dia em que o ataque foi lançado. Comparada com uma página AWS real, a página falsificada parecia ser real.

O ataque permaneceu confiável até seu grande final. Depois que a página de destino capturou as credenciais da AWS de quaisquer vítimas desavisadas, o processo os redirecionou de volta para a própria Amazon, como se para colocá-los em boas mãos.

O lado positivo é que essa campanha específica durou apenas alguns dias antes que os arquivos maliciosos e o domínio falso da AWS fossem encerrados no site da Amazon. Mas enquanto estava ativo, o golpe poderia facilmente enganar as pessoas por meio do uso de um gancho de engenharia social antigo, mas eficaz, a saber, alertar os usuários em termos vagos sobre um problema com sua conta.

Este tipo de esquema não é o único que tem como alvo os titulares de contas da AWS. Outra campanha observada por KnowBe4 usou o popular problema de cobrança, alegando que uma fatura era devida para a AWS e que o destinatário precisava clicar em um link para fazer um pagamento. Esse golpe específico tenta comprometer os dados do cartão de crédito da pessoa ou outras informações financeiras.

aws-invoice-due-knowbe4.jpg
Imagem: KnowBe4

Outra tática popular é enviar avisos ostensivamente da AWS. Em um ataque, o destinatário é informado de que sua conta da AWS será restrita se ele não seguir as etapas do e-mail. Avisos de segurança falsos são mais um truque comum com o e-mail alegando que alguém estava usando a conta AWS dessa pessoa sem o seu conhecimento.

aws-account-compromise-knowbe4.jpg
Imagem: KnowBe4

Os tíquetes de suporte falsos da AWS também são populares, pois o destinatário é instruído a clicar em um link no e-mail referente a um caso de suporte para obter ajuda técnica. E outra campanha de phishing promete contas ou outros documentos comerciais que os usuários podem acessar clicando em um link.

aws-vat-invoice-due-knowbe4.jpg
Imagem: KnowBe4

Uma conta comprometida da AWS pode ser prejudicial ao indivíduo e ao empregador de várias maneiras, de acordo com KnowBe4. Os cibercriminosos podem realizar qualquer um dos seguintes atos maliciosos:

  • Colete dados confidenciais da conta para serem explorados em ainda mais ataques contra clientes, parceiros ou clientes.
  • Exigir resgate pelos dados da organização depois que eles forem exfiltrados da conta ou depois que uma organização for bloqueada da conta.
  • Sabote os negócios da organização destruindo ou corrompendo dados armazenados em sua conta da AWS (talvez em conexão com um pedido de resgate).
  • Economize dinheiro e dados financeiros de contas usadas para dar suporte a uma loja online ou serviço financeiro.
  • Use a conta AWS de uma organização como plataforma de phishing, o que pode envolver a exploração da conta para distribuir malware, bem como hospedar páginas de credenciais de phishing ou outros arquivos usados ​​em ataques de phishing.

“Em resumo, veremos mais desses ataques de phishing com o tema AWS”, disse KnowBe4 em seu blog. “E eles ficarão mais sofisticados e mais perigosos.”

Para proteger sua organização contra essas campanhas de phishing, KnowBe4 aconselha que você atualize seus usuários sobre os mais recentes esquemas de engenharia social. Isso envolve treinamento de segurança com ataques de phishing simulados de alta qualidade. Esse treinamento deve ser dado principalmente a funcionários que controlam recursos e ativos essenciais, como uma conta da AWS.

Fonte: https://www.techrepublic.com/article/how-phishing-attacks-have-exploited-amazon-web-services-accounts/
Imagem: Getty Images / iStockphoto