Com o aumento da temporada de festas em todo o mundo, os agentes de ameaças começaram a tirar proveito da busca das pessoas por ofertas, empregos e bônus de fim de ano. Os pesquisadores da Proofpoint, empresa líder em segurança cibernética e compliance, observaram um aumento no conteúdo oportuno e temático que fornece campanhas de malware, fraude e phishing.
"A temporada de férias também é um bom momento para explorar as pessoas por meio da engenharia social. Elas geralmente estão com pressa e mais abertas a oportunidades, seja uma boa oferta, um desconto especial, um trabalho temporário, um bônus ou cash-back, ou o presente perfeito. Estão também mais dispostas a gastar dinheiro e a fornecer dados pessoais em sites", explica Marcelo Bezerra, líder em engenharia de cibersegurança.
"Merry phishmas"
A maioria das iscas temáticas de fim de ano observadas pela Proofpoint são campanhas de phishing. Em uma campanha no início de dezembro, por exemplo, os agentes de ameaças se passaram por departamentos de recursos humanos ou de folha de pagamento, enviando informações sobre bônus de fim de ano e folha de pagamento de Natal para os funcionários.
Exemplo de mensagem de phising recebida sobre pagamento de Natal (Imagem: Divulgação).
As mensagens foram personalizadas com o logotipo da organização-alvo ou um logotipo da Microsoft, e continham anexos de Open Office XML (OOXML), que incluíam um QRCode. Se escaneado, o URL direcionava os usuários para uma página de autenticação falsa da Microsoft.
A página de phishing apresentava a marca do AAD (Azure Active Directory) da organização do colaborador assim que o e-mail era fornecido e coletava as credenciais do usuário. Isso é feito por meio da técnica Adversary-in-the-Middle (AiTM), utilizando recursos de retransmissão síncrona fornecidos pela plataforma Tycoon Phishing-as-a-Service (PhaaS).
Os anexos Open Office XML (OOXML) são arquivos "brooxml" manipulados. Esses arquivos são especialmente criados por agentes de ameaças que acrescentam dados no início do documento, o que não é permitido no padrão OOXML, mas que o Microsoft Office pode "corrigir" automaticamente removendo-os. Essa é uma técnica que a Proofpoint tem visto ser usada desde agosto de 2024 para tentar contornar a detecção de sandbox (ambiente de computação controlado).
Ofertas de emprego nas férias que são golpes
Os especialistas da Proofpoint também identificaram uma campanha de fraude de emprego que se fazia passar pela organização sem fins lucrativos Project HOPE, tentando recrutar trabalhadores como "agentes de ligação com a comunidade". Em muitos e-mails, o autor enfatizou a ideia de que seria uma renda extra para a temporada de férias.
Uma fraude de emprego ocorre quando um agente de ameaça tenta recrutar alguém sob a premissa de uma oferta de emprego legítima. Eles criam ofertas de emprego fraudulentas na esperança de roubar dinheiro por meio do pagamento de taxa antecipada (AFF) ou criptomoeda, tentar obter informações de identificação pessoal (PII) ou recrutar um indivíduo para, sem saber, cumprir atividades ilegais, como lavagem de dinheiro.
Momento oportuno
Na temporada de férias e festas de final de ano, os agentes de ameaças encontram as pessoas onde elas estão: pesquisando online por presentes ou ofertas em diversos sites na internet. "Os golpistas se aproveitam e criam iscas que parecem ser oportunidades imperdíveis para tentar convencer as pessoas a fazer escolhas arriscadas on-line", complementa Marcelo.
Cybersecurity Forum
A TI Inside realiza anualmente o Cybersecurity Forum, evento que reúne os principais e mais influentes profissionais da área de segurança da informação, debaterá questões como o aumento no volume de ataques, legislação, novos modelos de ataques, e desafios para uma cultura voltada para segurança. O evento presencial será no dia 11 de março, no WTC-SP, e está com inscrições promocionais até 30 de dezembro. Para mais informações consulte o site do evento www.cybersecurityforum.com.br ou fale com Andrea pelo fone/WhatsApp 11-3138-4619.
