This post is also available in: Português
Os cibercriminosos estão conduzindo uma campanha de phishing altamente direcionada, se passando pela Pfizer para roubar informações comerciais e financeiras das vítimas.
A Pfizer é uma empresa farmacêutica muito conhecida, que tem ampla publicidade por produzir uma das poucas vacinas de mRNA atualmente disponíveis contra a COVID-19.
E é por ser uma marca conhecida que os cibercriminosos estão explorando seu nome e aplicando golpes de phishing, pois as chances de sucesso aumentam drasticamente em comparação com a representação de uma entidade fictícia.
Segundo relatório da INKY, os cibercriminosos estão se passando pela Pfizer em uma campanha de e-mail de phishing que iniciou por volta de 15 de agosto.
Os atores por trás dessa campanha são muito cuidadosos em suas operações de phishing, combinando anexos de PDF com domínios recém registrados que aparecem como espaços online oficiais da Pfizer.
Em seguida, eles geram contas de e-mail desses domínios para distribuição de e-mail phishing para contornar as soluções de proteção de e-mail.
Os domínios foram registrados através do Namecheap, que aceita criptomoeda como forma de pagamento, permitindo que os atores permaneçam anônimos.
Segundo a INKY, alguns domínios vistos são:
- pfizer-nl.com (este pode levar os usuários a acreditarem que é o portal online oficial da Pfizer Holanda, um país onde a empresa tem um escritório.
- pfizer-bv.org
- pfizerhtlinc.xyz
- pfizertenders.xyz
As linhas de assunto geralmente envolvem cotações urgentes, editais e tópicos relacionados ao fornecimento de equipamentos industriais.
Exemplo de e-mail de phishing. Imagem/Reprodução: INKY
Exemplo de e-mail de phishing. Imagem/Reprodução: INKY
Por conta da disseminação das novas variantes da COVID-19, os cribercriminosos não têm muita dificuldade em encapsular um senso de urgência nesses e-mails.
Na maioria dos 400 exemplos vistos pelos analistas do INKY, os atores usam um documento PDF de três paginas com aparência profissional discutindo datas de vencimento, condições de pagamento e outros detalhes que constituem uma solicitação legítima de cotação.
No PDF não constam links para eliminação de malwares ou URLs de phishing que alertariam as ferramentas de segurança de e-mail. Também não contém erros de digitação, o que tornaria a fraude óbvia.
Umas das páginas do documento PDF de três páginas enviado aos destinos. Imagem/Reprodução: INKY
Porém, os destinatários devem enviar suas cotações para os endereços de domínio personificados da Pfizer, como quote/@/pfizerbvl/./com ou quotation/@/pfizersupplychain/./com.
Embora o objetivo exato da campanha não esteja claro, o fato de os termos de pagamento estarem incluídos no PDF é uma forte indicação de que os cibercriminosos solicitarão ao destinatário que compartilhe seus dados bancários em algum momento.
Caso as informações de pagamento sejam fornecidas, elas podem ser usadas pelos invasores em futuras campanhas de BEC usadas contra os clientes da empresa alvo.
Além disso, os cibercriminosos não solicitam dados pessoais no primeiro contato, o que ajuda os destinatários a baixarem um pouco a guarda.
Responder esses e-mails só faz com que a vítima se envolva mais na fraude, pois ela espera assinar um acordo lucrativo com uma empresa de prestígio.
Ao receber e-mails com solicitações de licitação incomuns, é sempre mais seguro entrar em contato com a empresa pelo número normal e pedir para falar com a pessoa. Caso a pessoa não trabalhe na empresa ou não tenha conhecimento desses e-mails, você pode ignorar as solicitações e excluir os e-mails.
Fonte: INKY.
This post is also available in: Português
