O mundo hiperconectado facilitou como nunca a troca de documentos, a aprovação de transações e a conclusão de fluxos financeiros críticos com um clique. Plataformas de compartilhamento digital e de assinatura eletrônica, amplamente usadas em bancos, no mercado imobiliário, no setor de seguros e nas operações corporativas, tornaram-se essenciais para a agilidade das organizações modernas. Contudo, essa mesma conveniência abre espaço para a ação de cibercriminosos.
Os pesquisadores de segurança de e-mail da Check Point Software acabam de descobrir uma campanha de phishing em que atacantes se passam por serviços de compartilhamento de arquivos e assinatura eletrônica para distribuir iscas com tema financeiro parecendo notificações legítimas. Neste incidente, os cibercriminosos enviaram mais de 40.000 e-mails de phishing direcionados a aproximadamente 6.100 empresas ao redor do mundo nas últimas duas semanas. Todos os links maliciosos foram direcionados por meio do endereço https[:]//url[.]za[.]m[.]mimecastprotect[.]com, aumentando a confiança ao imitar fluxos de redirecionamento já conhecidos.
Funcionamento da campanha
Os cibercriminosos exploraram o recurso de reescrita de links seguros da Mimecast, usando-o como uma cortina de fumaça para que seus links parecessem legítimos e autenticados. Como o Mimecast Protect é um domínio confiável, essa técnica permite que URLs maliciosas evitem os filtros automatizados e reduzam a desconfiança dos usuários.
Para ampliar a credibilidade, os e-mails copiaram visuais oficiais dos serviços (logos da Microsoft e de produtos Office), usaram cabeçalhos e rodapés no estilo do serviço e botões “revisar Documento”, além de falsificarem nomes de exibição como “X via SharePoint (Online)”, “eSignDoc via Y” e “SharePoint”, combinando de perto com padrões autênticos de notificação.
Variação relacionada: phishing estilo DocuSign usando um método de redirecionamento diferente
Paralelamente à grande campanha envolvendo o MS SharePoint e serviços de assinatura, os pesquisadores também identificaram uma operação menor, porém relacionada, que imita notificações do DocuSign. Assim como o ataque principal, tal operação imita uma plataforma SaaS confiável e utiliza infraestrutura legítima de redirecionamento, mas a técnica usada para mascarar o destino malicioso é significativamente diferente.
Na campanha principal, o redirecionamento secundário funciona como um redirecionamento aberto, deixando a URL final de phishing visível na sequência de consulta, mesmo estando envelopada por serviços considerados confiáveis. Na variante com tema da DocuSign, o link passa por uma URL do Bitdefender GravityZone e depois pelo serviço de rastreamento de cliques da Intercom, com a verdadeira página de destino totalmente encoberta atrás de um redirecionamento com identificação exclusiva. Essa abordagem oculta completamente a URL final, tornando a variante que imita o DocuSign ainda mais camuflada e difícil de ser detectada.
Escala e padrões da campanha
A campanha mirou majoritariamente organizações nos Estados Unidos, Europa, Canadá, Ásia-Pacífico e Oriente Médio (a América Latina ficou fora do recorte por apresentar volume considerado irrelevante pelos pesquisadores). O foco principal recaiu sobre consultoria, tecnologia e construção/imobiliário, mas houve impacto adicional em saúde, finanças, manufatura, mídia e marketing, transporte e logística, energia, educação, varejo, hospedagem e viagens, além do setor público.
Esses setores são alvos atraentes porque rotineiramente trocam contratos, faturas e outros documentos transacionais, tornando iscas que imitam compartilhamento de arquivos e assinatura eletrônica altamente convincentes e mais propensas a ter sucesso.
Dados da telemetria da solução Check Point Harmony Email mostraram que mais de 40.000 e-mails de phishing foram direcionados a aproximadamente 6.100 empresas nas últimas duas semanas e a distribuição por região é a seguinte:
- Estados Unidos: 34.057
- Europa: 4.525
- Canadá: 767
- Ásia: 346
- Austrália: 267
- Oriente Médio: 256
Observação: A distribuição regional reflete onde os dados dessas empresas estão hospedados na infraestrutura da Check Point Software, e não necessariamente sua localização física.
Os pesquisadores já haviam documentado campanhas semelhantes de phishing em anos anteriores, mas o diferencial deste ataque é mostrar como os cibercriminosos conseguem reproduzir com facilidade serviços confiáveis de compartilhamento de arquivos para enganar usuários, reforçando a necessidade de vigilância constante, sobretudo quando e-mails trazem links clicáveis, remetentes duvidosos ou conteúdo fora do padrão no corpo da mensagem.
Orientações de proteção para empresas e usuários finais
As organizações e os indivíduos também devem tomar medidas proativas para reduzir riscos. Algumas formas de se proteger incluem:
• Trate sempre com cautela links incorporados em e-mails, sobretudo quando forem inesperados ou transmitirem senso de urgência.
• Prestar muita atenção aos detalhes do e-mail, como discrepâncias entre o nome exibido e o endereço real do remetente, inconsistências na formatação, tamanhos de fonte incomuns, logos ou imagens de baixa qualidade e qualquer coisa que pareça fora do comum.
• Passar o mouse sobre os links antes de clicar para inspecionar o destino real e garantir que ele corresponda ao serviço que supostamente enviou a mensagem.
• Abra o serviço diretamente no navegador e procure o documento por conta própria, em vez de clicar em links enviados por e-mail.
• Educar funcionários/colaboradores e equipes regularmente sobre novas técnicas de phishing para que entendam como padrões suspeitos se apresentam.
• Usar soluções de segurança como detecção de ameaças por e-mail, mecanismos antiphishing, filtragem de URLs e ferramentas de reporte pelo usuário para fortalecer a proteção geral.
