Marc Sureda
A Check Point revelou a descoberta de uma complexa campanha de phishing que marca uma mudança significativa nas táticas utilizadas pelos cibercriminosos. Ao contrário das estratégias convencionais que se baseiam na criação de domínios falsos ou na inclusão de links maliciosos diretos, esta nova onda de ataques instrumentaliza as funções nativas dos serviços na cloud para herdar a confiança, a reputação e a autenticação de fornecedores de renome. Ao utilizar plataformas SaaS (Software-as-a-Service) legítimas, os criminosos conseguiram distribuir golpes telefónicos com um alto grau de credibilidade.
A metodologia detetada pelos analistas indica que os cibercriminosos deixaram de depender de links suspeitos para se concentrarem em explorar fluxos de trabalho válidos das aplicações. A técnica consiste em inserir conteúdo fraudulento em campos controlados pelos utilizadores, como nomes de contas ou atributos de perfil, que posteriormente são refletidos nas notificações automáticas do sistema. Desta forma, são gerados e-mails a partir de domínios de alta reputação que passam por todas as verificações de autenticação, como SPF ou DKIM, e apresentam uma aparência de comunicação rotineira. Esta camuflagem dificulta enormemente a deteção automática por parte dos sistemas de defesa e reduz o nível de suspeita do destinatário humano.
O objetivo final dessa manipulação é transferir a fase final do ataque para a engenharia social por voz, uma técnica conhecida como vishing. Ao incitar a vítima a fazer uma chamada telefónica para números de suporte controlados pelos atacantes, são contornadas as análises de URL e os sistemas de reputação de links que protegem o e-mail corporativo. A investigação indica que esta campanha já gerou um volume aproximado de 133.260 e-mails de phishing e afetou 20.049 empresas em todo o mundo. Entre as marcas cuja infraestrutura foi alvo de abuso ou falsificação estão nomes de renome como: Microsoft, Zoom, Amazon, PayPal, YouTube e Malwarebytes.
Para tornar a mensagem fraudulenta indistinguível de uma comunicação legítima, os autores da ameaça desenvolveram métodos específicos. Um deles é a manipulação de metadados em plataformas como Zoom ou PayPal, onde são gerados e-mails com mensagens urgentes sobre faturação que instruem o utilizador a contactar um suporte falso. Tudo isso sob a cobertura da infraestrutura real da plataforma. Outro vetor importante são as notificações da Microsoft; os atacantes configuram tenants válidos para enviar e-mails automáticos onde a fraude aparece no assunto ou no corpo da mensagem. Como os e-mails são enviados a partir da infraestrutura oficial da Microsoft e são totalmente autenticados, são extremamente difíceis de distinguir das comunicações reais.
Da mesma forma, foi detetada a exploração dos fluxos de convites da Amazon Business. Neste cenário, é inserido texto com cargos falsos e números de contacto nos campos de convite, e é a própria Amazon que mostra este conteúdo no e-mail enviado através do Amazon SES. Isto permite que as mensagens pareçam notificações comerciais legítimas sem que os atacantes precisem de uma infraestrutura de e-mail própria. A concentração desses incidentes no último trimestre sugere que os criminosos consideram esse abuso das plataformas SaaS um método escalável que oferece um alto retorno com um esforço relativamente baixo.
A análise dos dados recolhidos mostra um claro impacto nas indústrias que têm uma alta dependência de plataformas digitais. Os setores mais afetados por esse abuso de SaaS foram o de Tecnologia, o próprio setor de SaaS e o de TI, reunindo quase 27% dos ataques. Seguem-se a Manufatura, a Indústria e a Engenharia com 21,4%, e o ambiente empresarial B2B não específico com 18,9%. Outros setores, como Educação, Finanças e Governo, também sofreram o impacto, embora em menor grau, o que evidencia uma estratégia direcionada para ambientes digitalizados.
De uma perspetiva geográfica, a campanha tem um alcance global com foco predominante nos Estados Unidos, onde estão localizadas quase 67% das empresas afetadas. No entanto, a Europa representa uma parte significativa do impacto total, com 17,8% das incidências, o que alerta os responsáveis pela tecnologia do continente sobre a vigência desta ameaça no nosso ambiente. Por sua vez, (na América Latina) países como o Brasil e o México lideram a lista dos afetados. Este cenário mostra que, à medida que os serviços na nuvem dominam a comunicação empresarial, os departamentos de TI devem assumir que os e-mails provenientes de marcas confiáveis não são intrinsecamente seguros e devem vigiar o uso indevido contextual de serviços legítimos.
