O Netskope Threat Research Labs, centro de pesquisa de ameaças da Netskope, descobriu recentemente uma página de phishing com tema da Amazon, hospedada pelo Serviço de Aplicativo do Azure. A página falsa foi criada com a intenção de roubar as credenciais e outras informações sensíveis de identificação pessoal (PII) de usuários da Amazon.
Este serviço é uma plataforma que permite aos usuários implantar sites de forma simplificada. A plataforma foi utilizada por agentes maliciosos para criar o formulário da web de phishing utilizado para coletar dados das vítimas, e criar o banco para armazenar os dados. A seguir estão alguns dos motivos pelos quais o invasor pode ter escolhido o Serviço de Aplicativo do Azure.
Apesar desses ataques ocorridos especificamente no Azure, a Netskope alerta que o risco se aplica aos demais provedores de serviços na nuvem, como Amazon Web Services (AWS), Google Cloud Platform (GCP) e Alibaba Cloud, que recentemente chegou ao Brasil.
Entre os fatores que podem ter incentivado os hackers a escolher esse serviço do Azure, podemos destacar:
• Baixo custo de hospedagem: uma nova assinatura inclui ofertas convidativas como gratuidade de serviços por um ano, por exemplo.
• Certificados e domínios SSL da Microsoft: o site é hospedado em um domínio da Microsoft e possui certificado SSL emitido pela Microsoft. Isso reduz as suspeitas das vítimas enquanto, por outro lado, ajuda os agentes maliciosos a driblarem as soluções tradicionais de cibersegurança
• Acessibilidade: para criar uma conta e uma página no Azure é preciso apenas de um cartão de crédito válido.
• Facilidade de implantação: Se um site for encerrado, é fácil reativá-lo em uma nova conta.
A equipe do Netskope Threat Research Labs sinaliza dois pontos importantes para evitar que os usuários se tornem vítimas de campanhas como essa. A primeira é desconfiar se as informações solicitadas para acessar determinado site forem muito detalhadas e/ou diferentes do habitual para o acesso. E segundo, verificar sempre se o domínio utilizado no site para inserção de informações pessoais é confiável – no caso desse ataque, seria "amazon.com" e não a plataforma do Azure.
