Campanha de phishing usa tema de conscientização em segurança como isca

Esse e-mail de treinamento anti-phishing que seus funcionários acabaram de receber pode, ironicamente, ser na verdade um e-mail de phishing, de acordo com analistas de ameaças cibernéticas que descobriram recentemente uma campanha de engenharia social online com tema de conscientização de segurança.

Em uma postagem do blog na quarta-feira, especialistas da Cofense relataram sobre uma campanha de phishing que envia e-mails com o objetivo de ser uma notificação solicitando aos funcionários que concluam o treinamento com a empresa de conscientização sobre segurança cibernética KnowBe4. Clicar nos links incorporados, no entanto, leva os destinatários do e-mail a uma página de phishing projetada para roubar suas credenciais do Microsoft Outlook e outras informações pessoais.

KnowBe4 relatou originalmente sobre o mesmo esquema em seu próprio blog no início deste mês, observando que o golpe “deve servir como um lembrete de que nenhuma empresa ou marca online está imune ou imune a falsificações como parte de uma campanha de e-mail malicioso. Marcas, sites e serviços online são vulneráveis ​​a tais ataques, e seus usuários devem estar totalmente cientes desse fenômeno. ”

O e-mail avisa os funcionários que eles têm apenas um dia para concluir o treinamento antes que o programa expire. A urgência costuma ser uma ferramenta usada por engenheiros sociais para induzir as vítimas a tomar decisões precipitadas sem pensar nas consequências de suas ações. E o fato de os invasores escolherem um tema de segurança cibernética é especialmente enganoso.

Os e-mails também “desencorajam os destinatários de navegar diretamente para páginas legítimas de treinamento da empresa com a seguinte declaração”, observa os coautores Max Gannon e Brad Haas, analistas de inteligência de ameaças da Cofense, insistindo que o treinamento não está disponível no portal do funcionário .

A Cofense diz que o kit de phishing está hospedado nos domínios de pelo menos sites comprometidos desde meados de abril de 2020. Vários desses sites também hospedaram recentemente um shell da web chamado “Chips L MINI SHELL” que dá aos invasores a capacidade de fazer upload e editar arquivos.

Portanto, talvez as empresas agora tenham que realizar treinamento adicional de conscientização sobre segurança para alertar os funcionários a procurarem treinamentos falsos de conscientização sobre segurança.

Fonte: https://www.scmagazine.com/home/security-news/phishing/phishing-campaign-spoofs-security-awareness-training-notifications