Os invasores estão enviando e-mails falsos muito convincentes do “Google” que passam pelos filtros de spam, direcionam as vítimas por vários serviços confiáveis de propriedade do Google e, por fim, levam a uma página de login semelhante ao Microsoft 365, projetada para coletar nomes de usuário e senhas.
Pesquisadores descobriu que os cibercriminosos usavam Integração de aplicativos do Google CloudRecurso Enviar e-mail para enviar e-mails de phishing a partir de um endereço legítimo do Google: noreply-application-integration@google[.]com.
O Google Cloud Application Integration permite que os usuários automatizem processos de negócios conectando qualquer aplicativo com configurações do tipo apontar e clicar. Atualmente, novos clientes recebem créditos gratuitos, o que reduz a barreira de entrada e pode atrair alguns cibercriminosos.
O e-mail inicial chega de um endereço que parece ser realmente do Google e faz referência a algo rotineiro e familiar, como uma notificação de mensagem de voz, uma tarefa a ser concluída ou permissões para acessar um documento. O e-mail inclui um link que aponta para uma URL genuína do Google Cloud Storage, de modo que o endereço da web parece pertencer ao Google e não parece ser uma falsificação óbvia.
Após o primeiro clique, você é redirecionado para outro domínio relacionado ao Google (googleusercontent[.]com) mostrando um CAPTCHA ou verificação de imagem. Depois de passar na verificação “Não sou um robô”, você é direcionado para o que parece ser uma página normal de login do Microsoft 365, mas, ao examinar mais de perto, percebe-se que o endereço da web não é um domínio oficial da Microsoft.
Quaisquer credenciais fornecidas neste site serão capturadas pelos invasores.
O uso da infraestrutura do Google proporciona aos phishers um maior nível de confiança tanto dos filtros de e-mail quanto dos usuários destinatários. Isso não é uma vulnerabilidade, apenas um abuso dos serviços baseados em nuvem que o Google oferece.
Resposta do Google
O Google afirmou que tomou medidas contra essa atividade:
“Bloqueamos várias campanhas de phishing envolvendo o uso indevido de um recurso de notificação por e-mail no Google Cloud Application Integration. É importante ressaltar que essa atividade decorreu do uso indevido de uma ferramenta de automação de fluxo de trabalho, e não de uma violação da infraestrutura do Google. Embora tenhamos implementado proteções para defender os usuários contra esse ataque específico, recomendamos cautela contínua, pois agentes mal-intencionados frequentemente tentam se passar por marcas confiáveis. Estamos tomando medidas adicionais para evitar novos usos indevidos.”
Vimos várias campanhas de phishing que abusam de fluxos de trabalho confiáveis de empresas como Google, PayPal, DocuSign e outros provedores de serviços baseados em nuvem para dar credibilidade a e-mails de phishing e redirecionar os alvos para seus sites de coleta de credenciais.
Como se manter seguro
Campanhas como essas mostram que parte da responsabilidade por identificar e-mails de phishing ainda recai sobre o destinatário. Além de se manter informado, aqui estão algumas outras dicas que você pode seguir para se manter seguro.
- Sempre verifique o endereço realda página de login; se não for um domínio genuíno da Microsoft, não insira suas credenciais. Usar um gerenciador de senhas pode ajudar, pois ele não preencherá automaticamente seus dados em sites falsos.
- Tenha cuidado com e-mails “urgentes” sobre mensagens de voz, compartilhamento de documentos ou permissões, mesmo que pareçam ter sido enviados pelo Google ou pela Microsoft. Criar urgência é uma tática comum usada por golpistas e phishers.
- Sempre que possível, acesse diretamente o serviço. Em vez de clicar nos links dos e-mails, abra o OneDrive, Teams ou o Outlook usando seu marcador ou aplicativo normal.
- Use autenticação multifatorial (MFA) para que senhas roubadas por si só não sejam suficientes e revise regularmente quais aplicativos têm acesso à sua conta, removendo aqueles que você não reconhece.
Dica profissional:Malwarebytes Guard consegue reconhecer e-mails como este como fraudes. Vocêpode enviar textos, e-mails, anexos e outros arquivos suspeitos e solicitar uma opinião. Ele é realmente muito bom em reconhecer fraudes.
Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las
Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
