Golpe usa Office 365 para roubar credenciais de pessoas

Por /

Os golpes de phishing talvez sejam uns dos mais comuns entre criminosos, e esses golpistas inovam cada vez mais para atrapalhar a vida de usuários da internet. Um novo tipo de golpe usa esse método do phishing por meio de anúncios pagos no Google para roubar dados de pessoas enquanto oferece serviços comuns, como o Office 365.

A fraude não é sofisticada, tampouco revolucionária, mas é eficiente. Os criminosos pagam para anunciar serviços ou produtos ordinários, que encabeçam o topo das buscas no Google. Desavisadas, as vítimas clicam nas propagandas e caem em um ciclo de redirecionamentos perigosos.

  • Saiba mais:

Ele é quase um facilitador de acessos que funciona no esquema SSO, de login único. Em outras palavras, é um tipo de credencial que te permite entrar em diversas plataformas com o mesmo usuário/email e senha.

O que os criminosos fazem é criar um tipo de ambiente isolado falso, que simula uma plataforma onde uma empresa pode gerenciar usuários e diversos dados. Quando a vítima acessa o site do Office e cai no site de phishing, os sistemas de defesa são totalmente burlados, já que aquele domínio “bluegraintours” engana a segurança, pois parece legítimo.

golpe-usa-office-365-para-roubar-credenciais
Domínio “bluegraintours” aparece diversas vezes na linha do tempo do golpe (Imagem: Plush Security)

Vale notar que o domínio “bluegraintours” sequer aparece para a vítima. É como se ele rodasse em segundo plano e estivesse ali apenas para contornar as medidas de segurança presentes no ADFS e em serviços de autenticação de dois fatores.

Como o atacante gerencia ambos os lados — a página de golpe e o serviço ADFS — ele “permite” que a autenticação prossiga, fazendo com que a vítima acredite que está em um processo de login legítimo.

  • Um anúncio patrocinado malicioso é exibido no Google em buscas comuns, como “Office 365”;
  • Ao clicar, a vítima chega a entrar no site oficial da Microsoft, mas cai em um domínio intermediário e, depois, em um site de phishing;
  • No site de phishing, a vítima insere suas credenciais de acesso, acreditando estar acessando um site legítimo;
  • O golpe reside na exploração do ADFS, que permite login único em diversas apps ou serviços;
  • As defesas da Microsoft não detectam ameaças, já que o anúncio falso direciona o usuário para um domínio intermediário que camufla a fraude.

O intermediário de uma fraude

Além do crítico fato do Google estar ativamente promovendo propagandas pagas que culminam em golpes de phishing, o roubo de dados nem é a parte mais interessante do golpe. O segredo da fraude consiste no caráter intermediário no qual as coisas se desenvolvem.

golpe-usa-office-365-para-roubar-credenciais
Momento em que o servidor ADFS recebe solicitação de autorização do domínio invasor (Imagem: Plush Security)

O domínio “bluegraintours” é totalmente preenchido com conteúdos falsos, como postagens irreais. É essa página que consegue se camuflar e passar despercebida pelos mecanismos de segurança. Mesmo que inicialmente toda vítima entre no real site da Microsoft, as defesas da empresa não são alarmadas porque o golpe usa o domínio “office.com” para gerar um novo redirecionamento.

Segundo os pesquisadores, o golpe é exibido apenas para vítimas em certas condições, como localização geográfica ou tipo de navegador. Caso o usuário não cumpra esses requisitos, ele seria direcionado ao site verdadeiro da Microsoft, e isso torna o golpe bem difícil de ser detectado.

Para mais informações sobre golpes e o funcionamento de fraudes digitais, continue ligado no site do TecMundo.

Related Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima