Geral 3min de Leitura - 26 de julho de 2020

Phishing com consentimento: ameaças baseadas em aplicativos

Mãos masculinas digitando em um notebook, simulando um golpe de phishing com consentimento.

This post is also available in: Português Español

Os cibercriminosos se aproveitam de todos os artifícios possíveis para realizar seus ataques e golpes. Recentemente, eles descobriram uma nova maneira de obter acesso a dados confidenciais através do phishing com consentimento.

O que é phishing com consentimento?

Segundo a Microsoft, atualmente, os desenvolvedores estão criando aplicativos integrando dados organizacionais e de usuários de plataformas em nuvem para aprimorar e personalizar suas experiências.

Tais plataformas na nuvem são ricas em dados, porém, atraem pessoas mal-intencionadas que buscam acesso injustificado a esses dados, promovendo ataques.

Um desses ataques é o chamado phishing com consentimento, onde os cibercriminosos induzem os usuários a conceder a um aplicativo mal-intencionado acesso a dados confidenciais ou outros recursos.

Em vez de tentar roubar a senha do usuário, o invasor está buscando permissão para que um aplicativo controlado por invasores acesse dados valiosos.

Como os cibercriminosos agem nesse ataque?

Os ataques tendem a variar, porém, as etapas do ataque quase que se repetem e, geralmente, seguem essa linha:

  1. O invasor registra o aplicativo com um provedor OAuth 2.0, como o Azure Active Directory;
  2. O aplicativo é configurado de uma maneira para fazê-lo parecer confiável, utilizando o nome de um produto popular utilizado no mesmo ecossistema;
  3. O invasor envia um link aos usuários, que geralmente é feito através do phishing convencional baseado em e-mail, comprometendo um site não malicioso ou outras técnicas;
  4. Ao clicar no link, é exibido ao usuário um pedido de consentimento autêntico, solicitando que ele conceda permissão de acesso aos dados;
  5. A partir do momento em que o usuário clica em aceitar, ele concede ao aplicativo a permissão para acessar dados confidenciais e valiosos;
  6. O aplicativo obtém um código de autorização que ele resgata para um token de acesso e um token de atualização;
  7. O token de acesso é usado para realizar chamadas de API em nome do usuário.

Caso o usuário aceite, o invasor poderá obter acesso a suas mensagens, regras de encaminhamento, arquivos, contatos, notas, perfil e outros dados e recursos confidenciais.

Veja a seguir um exemplo: a tela de consentimento de um aplicativo malicioso chamado de “App Risky”:

Print da pagina de termos usada no golpe de phishing com consentimento.

Fonte: Microsoft, 2020.

Microsoft desmontando a infraestrutura de ataque

Assim como o ataque de phishing com consentimento, a Microsoft também desmontou a infraestrutura de cibercrimes envolvidas em outras campanhas notórias de phishing.

Por meados de março, a Microsoft assumiu a infraestrutura norte-americana de botnet de spam Nercurs usada para infectar milhões de computadores com cargas úteis de malware. Essa foi a maior botnet de spam da época, e a Microsoft conseguiu desestruturá-la com sucesso.

Já por volta de julho, a Microsoft anunciou que havia assumido o controle dos principais domínios da infraestrutura usada em um novo e sofisticado esquema de phishing projetado para comprometer as contas de clientes da Microsoft por meio de iscas relacionadas a COVID-19.

Proteja-se contra ataques de phishing com consentimento

Usuários da Microsoft já contam com a segurança oferecida pela empresa. Ela capta sinais, identifica e toma medidas para corrigir aplicativos maliciosos, desativando-os e impedindo que os usuários os acessem.

A Microsoft investe em maneiras de garantir que seu ecossistema de aplicativos seja seguro e confiável.

Porém, os invasores são persistentes e não desistem fácil. É por isso que deve-se seguir algumas práticas para manter você e sua organização mais segura.

É importante verificar se a ortografia e gramática estão corretas ou são ruins. Caso uma mensagem de e-mail ou a tela de consentimento do aplicativo apresentar erros ortográficos e gramaticais, provavelmente trata-se de um aplicativo suspeito.

Atente-se também aos nomes dos aplicativos e URLs de domínio. Os cibercriminosos falsificam nomes de aplicativos que aparentam vir de aplicativos ou empresas legítimas.

Certifique-se de reconhecer o nome do aplicativo e a URL do domínio antes de aceitar os termos e consentir com um aplicativo.

Aos líderes de organizações, oriente seus colaboradores a seguir esses passos.

Como pudemos ver, o aumento do uso de aplicativos em nuvem nos mostra a necessidade de melhorar a segurança dos aplicativos e a atenção antes de aceitar os termos de qualquer aplicativos que não seja totalmente confiável. Pois, sem saber, podemos ceder aos cibercriminosos acesso a dados confidenciais.

Gostou do artigo? Aprofunde sua leitura sobre phishing para entender melhor do que se trata esse tipo de ataque e como se proteger.

Fonte: CYWARE.

This post is also available in: Português Español