Detectado novo ataque de phishing que usa o Dynamic 365 Customer Voice

Os pesquisadores da Avanan, empresa de segurança de colaboração e e-mail em Nuvem, adquirida pela Check Point Software em agosto de 2021, alertam para uma de suas novas descobertas em que os atacantes estão usando o Dynamic 365 Customer Voice da Microsoft para enviar links de phishing.

“Nos últimos meses, os cibercriminosos estão usando continuamente o que chamamos de ‘Static Expressway’ para alcançar os usuários finais, que é uma técnica para tirar proveito de páginas da Web legítimas para burlar os sistemas de segurança. Nesses tipos de ataques, os sistemas de segurança não podem bloquear diretamente a Microsoft, pois isso bloquearia o trabalho”, informa Jeremy Fuchs, pesquisador e analista de cibersegurança na Avanan.

Esses tipos de ataques ocorrem com frequência no Facebook, PayPal ou QuickBooks, entre outros. É especialmente difícil para o software de segurança descobrir o que é real e o que está oculto por trás do link legítimo. Além disso, muitos sistemas veem um link conhecido e, por padrão, não o verificam.

É por isso que este é um ataque particularmente complicado, principalmente porque o link de phishing não aparece até a última etapa. Eles primeiro direcionam os usuários para uma página legítima, portanto, passar o mouse sobre a URL no corpo do e-mail não fornecerá proteção. Nessa situação, seria importante lembrar aos usuários de consultar todas as URLs, mesmo quando não estiverem no corpo do e-mail.

Metodologia de ataque

O Dynamics 365 Customer Voice é um produto da Microsoft usado principalmente para obter feedback de clientes. Ele pode ser usado para pesquisas de satisfação do cliente, para rastrear o retorno do cliente e agregar dados; também pode ser usado para interagir com os clientes por telefone, com os dados sendo coletados para mais informações. “É aqui que os hackers notaram como tirar proveito. Em vez de usar isso para feedback do cliente, os atacantes estão tentando roubar informações do cliente”, explica Fuchs.

Nesse ataque, os cibercriminosos usam notificações falsas do navegador para entregar arquivos maliciosos. A Avanan encontrou centenas desses ataques nas últimas semanas.

• Vetor: e-mail
• Tipo: coleta de credenciais
• Técnicas: engenharia social, roubo de identidade
• Objetivo: qualquer usuário final

Exemplo de e-mail 1
Um e-mail encaminhado via o recurso de pesquisa do Dynamics 365, curiosamente, indica no endereço de envio “Forms Pro”, que é o nome antigo do recurso de pesquisa. O e-mail informa que uma nova mensagem de voz foi recebida. Para o usuário final, isso parece uma mensagem de voz de um cliente, que deve ser importante ouvir. Clicar nele será, então, o passo natural a ser dado.

Exemplo de e-mail 2
Um e-mail com um link legítimo do Microsoft Customer Voice. Como o link é autêntico, os programas de detecção pensarão que o e-mail é válido. No entanto, ao clicar no botão “Play Voicemail” (“Reproduzir correio de voz”), contido no e-mail, os cibercriminosos têm mais truques na manga. A intenção do e-mail não é enviar uma mensagem de voz, mas fazer com que se clique no botão “Play Voicemail” para redirecionar a um link de phishing.

Exemplo de e-mail 3
Um e-mail contendo link de correio de voz. Depois que o link do correio de voz for clicado, o usuário será redirecionado para uma página de login idêntica da Microsoft. É nesse momento que os atacantes roubam seu nome de usuário e senha. Os pesquisadores da Avanan chamam a atenção para se observar que, no exemplo 3, a URL é diferente de uma página típica da Microsoft.

Orientações e recomendações

Para evitar ser vítima deste tipo de ataque, os profissionais de segurança devem proceder da seguinte forma:

● Sempre monitorar todas as URLs, mesmo aquelas que não estão no corpo do e-mail.
● Ao receber um e-mail com correio de voz, certificar-se de que é um e-mail conhecido e verificado.
● Se tiver dúvidas sobre um e-mail, deve-se perguntar ao remetente original.

Serviço
www.checkpoint.com