Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, identificaram novas campanhas de phishing via e-mail, principal vetor em 86% de todos os ataques em 2022. Desta vez as campanhas de phishing utilizam as plataformas Google Ads e Google Collection.
Os anúncios fazem a Internet girar. E ninguém faz mais com anúncios online que o Google, o principal provedor de anúncios na Internet onde empresas de todos os portes usam seus serviços, pois é uma ótima maneira de divulgar serviços e/ou produtos. No caso do Google Ads, os hackers também o estão utilizando como uma forma de redirecionar os usuários para sites maliciosos.
Google Ads
A respeito deste ataque utilizando Google Ads, os pesquisadores da Check Point Software informam como os hackers estão incluindo redirecionamentos de URL nos anúncios do Google para levar os usuários finais a sites maliciosos.
Vetor: E-mail
Tipo: URL maliciosa
Técnicas: Engenharia Social, Representação, Coleta de Credenciais
Alvo: todos os usuários finais
Um e-mail de phishing com ataque via Google Ads começa como uma representação de um correio de voz da Microsoft. A expectativa do atacante é que, ao ver uma mensagem de voz perdida, o usuário clique nela. Os usuários finais mais atentos, no entanto, verão que a URL em tal e-mail não tem nada relacionado à Microsoft. Há uma URL de anúncios do Google, e é aqui que o redirecionamento começa no ataque.
Ao verificar o código-fonte da URL indicada “http[:]//googleads[.]g[.]doubleclick[.]net/aclk?” (a página de phishing nesta URL já foi removida), ela é a base do serviço de rastreamento e redirecionamento de cliques do Google Ads. Esses são os parâmetros usados pelo Google Ads para fins de rastreamento e análise, bem como a URL de destino para onde o usuário será redirecionado.
Em vez de colocar uma URL comercial, o atacante coloca uma TinyURL (que é um serviço web que transforma links longos em links curtos e permitem um redirecionamento de páginas). É para lá que o usuário final irá e, neste caso, para um site malicioso.
“Essencialmente, tais ataques estão configurando uma campanha usando anúncios do Google e colocando o link de redirecionamento na URL”, reforça Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.
Técnicas – ataques Google Ads
“Os hackers continuarão a usar serviços legítimos para enviar phishing e malware porque é difícil para os serviços de segurança pararem e para os usuários finais detectarem”, diz Fuchs.
Ao se aproveitarem da confiança e da legitimidade de serviços como o Google Ads, os atacantes estão tendo sucesso em obter a URL pretendida ou a carga útil para os usuários. Nesse caso, ao inserir um redirecionamento de URL nos parâmetros de um script do Google Ads, os hackers podem inserir o que desejam sem aviso prévio.
“Vimos exemplos disso em muitas marcas legítimas, como PayPal e QuickBooks. Nós o chamamos de BEC 3.0 (Business Email Compromise ou Comprometimento de E-mail Corporativo, em português), a evolução desse ataque mais popular. Em vez de CEOs ou parceiros falsificados, este formulário de ataque faz referência a sites legítimos, não falsificados”, explica Fuchs. “Acreditamos que a adoção de serviços legítimos para enviar ataques de phishing e malware tem sido a mais recente tendência deste ano, conhecida como BEC 3.0 e é a próxima evolução deste tipo de ataque para que os usuários para que forneçam informações confidenciais.”
No dia 5 de julho de 2023, a equipe de pesquisadores da Check Point Software entrou em contato com o Google para informá-los sobre esse ataque envolvendo Google Ads.
Google Collection phishing
O Google Collection é uma ferramenta que permite salvar links, imagens e vídeos e compartilhá-los com outras pessoas. Ao manter a linha dos ataques BEC 3.0, os hackers também estão usando essa ferramenta para disseminar campanhas de phishing e aproveitando-se da legitimidade do Google para conseguirem ocultar links maliciosos em sites legítimos.
No caso do ataque utilizando Google Collection, Jeremy Fuchs explica as técnicas e modus operandi do ataque para compartilhar links de phishing.
Neste ataque com Google Collection, os hackers estão utilizando as páginas do Google para enviar links para sites falsos de criptomoedas.
Vetor: e-mail
Tipo: Coleta de credenciais
Técnicas: Engenharia Social, BEC 3.0
Alvo: todos os usuários finais
Técnicas – ataques Google Collection
Nesse tipo de ataque, o primeiro e-mail chega normalmente ao usuário por meio de uma notificação diretamente do Google. Isso ocorre porque o hacker compartilhou a coleção com o usuário final. O e-mail vem de um endereço no[-]reply[@]google[.]com . Esse endereço é legítimo e seria reconhecido como tal por atacantes e usuários finais.
As coleções do Google Collection funcionam com várias figuras semelhantes a cartões. O usuário pode criar links para imagens, páginas da Web, entre outros, dentro dessa coleção. Clicar em um cartão leva para uma página que é um formulário do Google. No entanto, no ataque, os hackers farão com que isso redirecione para um site falso de criptomoeda, que eventualmente roubará dinheiro do usuário.
“O que estamos explicando aqui é crítico: isso não quer dizer que o Google agora seja ilegítimo ou perigoso. Pelo contrário. Mas o Google, como muitos sites, permite que se coloque qualquer conteúdo em sua página. Os hackers estão abusando desse privilégio colocando sites ilegítimos e maliciosos”, explica Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques BEC 3.0 e via e-mail de phishing, os profissionais de segurança precisam:
Implementar segurança que usa IA para analisar vários indicadores de phishing;
Implementar segurança completa que também pode digitalizar documentos e arquivos;
Implementar proteção de URL robusta que verifica e emula páginas da web.
Leia nesta edição:
PRÊMIO IC - DESTAQUES DE TIC 2024
Usuários e profissionais do setor de TIC escolhem os produtos e as marcas que melhor os atenderam
TELECOMUNICAÇÕES
5G: a real revolução ainda está para acontecer
ESCPECIAL - ANUÁRIO DE TIC 2024/25
Contatos estratégicos
Esta você só vai ler na versão digital
TENDÊNCIAS
As tecnologias que estão moldando o futuro do e-commerce
Baixe o nosso aplicativo