Geral 2min de Leitura - 26 de outubro de 2020

Campanha de phishing imita alertas do Microsoft Teams

Aplicativo microsoft teams em smartphone

This post is also available in: Português

Software usado em chats e videoconferências tem notificações clonadas para furtar logins e senhas de usuários do Microsoft Teams.

A pandemia não para de gerar oportunidades para os cibercriminosos. Eles sabem que muita gente só consegue trabalhar porque está em casa, no home office, comunicando-se com colegas de trabalho por meio de softwares de reuniões virtuais – como Zoom e Microsoft Teams.

Esse último protagonizou uma cena preocupante nos últimos dias. Pesquisadores da Abnormal Security descobriram uma campanha de phishing que imita as mensagens automatizadas dessa plataforma de comunicação. O objetivo é roubar as credenciais de login e senha do usuário.

Com a quarentena, o Teams ficou ainda mais atrativo. Segundo a Microsoft, os usuários geraram mais de 5 bilhões de minutos de reunião em um único dia . Cerca de 70 empresas agora têm mais de 100.000 usuários do Teams, e cerca de 1.800 negócios têm mais de 10.000 pessoas cadastradas.

Ousadia

Acredita-se que a campanha de phishing – ainda em em andamento – tenha atingido de 15.000 a 50.000 usuários do Office 365 até agora, de acordo com o relatório da Abnormal Security.
“Como o Microsoft Teams é um serviço de mensagens instantâneas, os destinatários das notificações fake podem estar mais propensos a clicarem nelas para que possam responder rapidamente a qualquer mensagem que eles acham que podem ter perdido com base na notificação”, dizem os pesquisadores da Abnormal Security.

Como funciona

Os e-mails de phishing são enviados com o texto “Há uma nova atividade no Teams”, para fazer com que pareça uma notificação automática e totalmente comum. A mensagem falsa foi projetada para convencer a vítima em potencial de que um membro de sua equipe está tentando entrar em contato com ela – algo corriqueiro.

A opção de resposta chamada “Responder em equipes” leva a vítima a uma página de login que simula a da Microsoft. Nela, as credenciais do usuário são coletadas assim que ele as digita, permitindo que os fraudadores acessem a conta e colham mais informações.

“A página de destino do link se parece de maneira convincente com uma página de login da Microsoft, com o início da URL contendo ‘Microsftteams’, o que dá mais veracidade”, ressaltam os pesquisadores.

Outros Ataques

Não é a primeira vez que algo do tipo acontece. Uma campanha de phishing semelhante descoberta em maio falsificou a notificação do Microsoft Teams para coletar credenciais.
Outros analistas de segurança perceberam a existência de campanhas parecidas, destinadas a trabalhadores em home office, que dependem cada vez mais de serviços baseados em nuvem, como Zoom, Teams e Office 365.

Em abril, a Agência de Segurança Cibernética e de Infraestrutura dos EUA publicou um alerta que pedia para as empresas protegerem os serviços de colaboração baseados em nuvem.
Outros pesquisadores encontraram vulnerabilidades no próprio Teams. A Microsoft lançou um patch em abril para um bug que poderia permitir que um invasor assumisse o controle das contas de uma empresa através do uso de uma imagem GIF – um tipo de arquivo bastante comum.

E é isso que os crackers têm feito com grande ênfase ultimamente: investidas que simulam atividades normais e repetitivas do dia a dia, para “pegar” desprevenidos. Mais do que nunca, todo cuidado é pouco – mesmo com as ações mais simples do cotidiano.

This post is also available in: Português