A Microsoft conseguiu parar uma campanha global que usava domínios falsos e apps maliciosos para enganar seus consumidores em 62 países em todo o mundo. Segundo a empresa, os malfeitores assumiam o controle das contas do Office 365 das vítimas e, se passando por elas, enviavam e-mails a parceiros comerciais para tentar convencer CEOs e outros membros de suas diretorias a lhes enviar dinheiro.
Em dezembro de 2019 o mesmo grupo criou uma campanha de phishing para obter acesso não autorizado aos sistemas de várias empresas. Os e-mails tinham como assunto termos genéricos do mundo dos negócios, como “relatório trimestral”. A Microsoft conseguiu parar esta campanha, e os malfeitores mudaram suas táticas.
Em vez de tentar fazer suas vítimas se logarem em sites falsos, consequentemente divulgando suas senhas, o golpe usava um e-mail que instruía o destinatário a dar a um “app da Microsoft” acesso às suas contas do Office 365. A pandemia de Covid-19 era usada como isca.
“Este esquema permitia o acesso não autorizado sem exigir que a vítima revelasse suas credenciais de login em um site falso ou interface similar, como em uma campanha de phishing tradicional”, disse Tom Burt, Vice-Presidente Corporativo de Segurança e Confiança do Consumidor na Microsoft.
“Depois de autorizar o acesso do app malicioso, a vítima inadvertidamente dava aos criminosos permissão para acessar e controlar o conteúdo de suas contas do Office 365, incluindo e-mails, listas de contatos, notas e dados armazenados no OneDrive for Business e no sistema de gerenciamento e armazenamento de documentos Sharepoint”.
O nome ou afiliação dos hackers não foi divulgado, e a Microsoft apenas afirmou que eles são sofisticados e que também foram responsáveis pela campanha de phishing em dezembro.
A Microsoft chama este tipo de ataque de “phishing com consentimento” (Consent Phishing). Em um post em seu blog, a empresa detalha os passos do golpe e dá dicas de como proteger sua empresa, entre elas com o uso de um sistema de autenticação em dois fatores em todas as contas corporativas.
Fonte: Wired