Esses e-mails de phishing usam códigos QR para contornar as defesas e roubar nomes de usuário e senhas do Microsoft 365
Os códigos QR têm menos chance de serem detectados pelas defesas de segurança cibernética do que links ou anexos – e os criminosos cibernéticos estão tentando explorá-los.
Os cibercriminosos estão enviando e- mails de phishing contendo códigos QR em uma campanha projetada para coletar credenciais de login para aplicativos em nuvem do Microsoft 365.
Nomes de usuário e senhas para serviços de nuvem corporativos como o Microsoft 365 são um alvo principal para criminosos cibernéticos , que podem explorá-los para lançar ataques de malware ou ransomware ou vender credenciais de login roubadas para outros hackers usarem em suas próprias campanhas.
Os cibercriminosos estão procurando novas maneiras sorrateiras de enganar as vítimas e fazê-las clicar em links para sites de phishing projetados para se parecerem com páginas de login autênticas da Microsoft, entregando acidentalmente suas credenciais.
Uma campanha recente detalhada por pesquisadores de segurança cibernética da Abnormal Security enviou centenas de e-mails de phishing que tentavam usar códigos QR projetados para contornar as proteções de e-mail e roubar informações de login. Isso é conhecido como um ataque “quishing”.
Os códigos QR podem ser úteis em tentativas de atividade maliciosa porque as proteções de segurança de e-mail padrão, como scanners de URL, não detectam nenhuma indicação de um link ou anexo suspeito na mensagem.
A campanha é executada a partir de contas de e-mail previamente comprometidas, permitindo que os invasores enviem e-mails de contas usadas por pessoas reais em empresas reais para adicionar uma aura de legitimidade aos e-mails, o que pode encorajar as vítimas a confiar neles. Não é certo como os invasores inicialmente obtêm controle das contas que estão usando para distribuir os e-mails de phishing.
Os e-mails de phishing afirmam conter uma mensagem de correio de voz do proprietário da conta de e-mail de onde estão sendo enviados e a vítima potencial é solicitada a escanear um código QR para ouvir a gravação. Todos os códigos QR analisados foram criados no mesmo dia em que foram enviados.
Uma versão anterior da campanha tentava induzir os usuários a clicar em um URL malicioso, escondendo-o atrás de um arquivo de áudio. No entanto, isso foi detectado e identificado como malicioso por um software antivírus, levando os invasores a passarem a usar códigos QR.
Embora o método dos códigos QR possa contornar mais facilmente as proteções de e-mail, a vítima precisa seguir muito mais etapas antes de chegar ao ponto em que poderia dar por engano suas credenciais de login a criminosos cibernéticos. Para começar, o usuário precisa ler o código QR em primeiro lugar – e se estiver abrindo o e-mail em um celular, terá dificuldade em fazer isso sem um segundo telefone.
No entanto, se a vítima não suspeitar de atividade suspeita e seguir as instruções, ela pode erroneamente fornecer seu nome de usuário e senha a criminosos virtuais.
“O uso do código QR apresenta um desafio único para as plataformas de segurança que procuram sabidamente ruins, já que esses e-mails vêm de contas legítimas e não contêm links, apenas imagens aparentemente benignas que parecem não conter URLs maliciosos”, disse Rachelle Chouinard, ameaça analista de inteligência da Abnormal Security.
“É apenas entendendo que a conta está comprometida – combinada com a compreensão da intenção do e-mail – que esse novo (e bastante inovador) tipo de ataque pode ser detectado”, acrescentou ela.
Para evitar e-mails indesejados, os usuários devem ser extremamente cautelosos ao escanear códigos QR apresentados em mensagens inesperadas, mesmo que pareçam vir de contatos conhecidos. Aplicar a autenticação multifator em contas do Microsoft 365 também pode ajudar a proteger os detalhes de login contra roubos.
Fonte: https://www.zdnet.com/
