Por Raphael Denser*
Os ataques de Phishing não são novidades, especialmente quando se tratam de e-mails de spam enviados na esperança de alcançar usuários perfeitamente ingênuos, que clicaria em um link mal-intencionado ou abriria um script de malware disfarçado de anexo.
Porém links mal-intencionados e anexos são apenas a ponta do iceberg, pois existem várias outras formas de enganar os usuários e roubar suas informações de credenciais sem que desconfiem que está sob um ataque de Phishing.
O nome Phishing é uma corrupção da palavra “fishing” (“pescar”, em inglês), e faz referência à forma como o golpe é feito: lançando uma isca para atrair usuários com conteúdo maliciosos sem o seu consentimento. Mas nem sempre haverá clichê em tentativas de Phishing: mesmo sendo o método mais comum de espalhar caos e obter credencias, o envio de e-mails que direcionam o usuário para sites contaminados está ficando cada vez mais obsoleto em um cenário de múltiplas possibilidades. Com o tempo, os golpes foram se diversificando e, até mesmo, usando eventos reais para se aproveitar dos usuários.
Com a evolução das tecnologias e métodos de defesas, houve também a evolução de ferramentas que ajudam o atacante a realizar de uma melhor forma seus ataques contra instituições e corporações.
O uso de ferramentas é aliado a ataques do tipo roubo de credencias, e por se tratar de uma ferramenta de Phishing, o PHISHERY melhor se encaixa neste modelo.
O PHISHERY é um servidor HTTP habilitado para uso de SSL simples, com o objetivo principal de obter credenciais por meio de Phishing de autenticação básica. O Phishery também fornece a capacidade de injetar uma URL como “C 2” (central de comando e controle) facilmente em um documento .docx do Word. Quando o servidor estiver configurado e em execução, tudo que o atacante precisa fazer é incorporar a URL que o servidor PHISHERY estiver configurado em um documento do Word para que seu Mal-DOC esteja pronto para coletar credenciais.
Os ataques de coleta de credenciais usam e-mails que contêm documentos mal-intencionados do “Microsoft Office” que alavancavam a técnica ‘attachedTemplate’ (modelo anexado) para carregar um servidor remoto, criado especialmente para enganar usuários e até mesmo as linhas de segurança do Windows e da própria corporação.
Ao tentar abrir o Documento, o Microsoft Office exibirá uma caixa de diálogo de autenticação para solicitar ao usuário que forneça credenciais de login, passando-se por uma autenticação real para abertura de um documento. Porém a eficácia desse método é baseada principalmente no domínio de autenticação básico usado, já que muitas vezes tudo o que o usuário final verá quando abrir um documento do Office será uma solicitação para colocar suas credenciais para prosseguir com abertura do Documento. Após o usuário colocar suas credenciais o documento abrirá normalmente sem mesmo que desconfie que acaba de cair em um Phishing de coleta de credencias, expondo a riscos toda corporação.
*Raphael Denser é Consultor da Safeway Consultoria.
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
