Novo ataque de phishing tenta roubar as credenciais do Office 365 via Box
Pesquisadores na plataforma de segurança em nuvem Armorblox descobriram um ataque de phishing que procura roubar as credenciais de login do Office 365.
Até agora, tão previsível. Mas a reviravolta esperta aqui é que a página inicial para a qual as vítimas são levadas através do link de e-mail é hospedada na caixa de serviço de compartilhamento de arquivos na nuvem, seguida por uma página de phishing de credenciais que se assemelha ao portal de login do Office 365.
O nome do remetente e o domínio utilizado pertencem a uma empresa legítima e isto junto com o uso da Box ajuda o ataque a fugir da detecção e a chegar às caixas de entrada das pessoas. Os e-mails também são construídos para encorajar as pessoas a clicar, com uma simples chamada para ação — Clique aqui para pegar seus documentos — e texto de rodapé que informa aos leitores que o link de e-mail só estará ativo por um tempo limitado, dando um senso de urgência.
“A primeira página deste fluxo de ataque foi hospedada no Box, aproveitando a reputação do domínio Box para passar por quaisquer filtros usados para bloquear domínios ruins conhecidos”, escreve Arjun Sambamoorthy, co-fundador e chefe de engenharia da Armorblox no blog da empresa. “A página parecia hospedar um documento que era compartilhado pela OneDrive, com muita marca Microsoft usada para embalar os usuários em uma falsa sensação de segurança”. O documento exibe ‘Secured by OneDrive’ no canto superior esquerdo, ‘OneDrive for Business’ gravado no centro, e ‘Powered by Office 365’ no canto inferior esquerdo”.
Se os usuários clicassem no link ‘Acessar Documentos’ na página Box, seriam redirecionados para uma página parecida com o portal de login do Office 365, o que iria recolher suas credenciais.
Você pode ler mais sobre o ataque, incluindo como ele foi detectado no blog Armorblox.
