Um anexo chamado New PO 500PCS.pdf.hTM, fingindo ser um pedido de compra em formato PDF, acabou sendo algo totalmente diferente: uma página da web que coletava credenciais e enviava discretamente senhas e dados de IP/localização diretamente para um bot do Telegram controlado por um invasor.
Imagine que você trabalha no departamento de contas a pagar, vendas ou operações. Seu dia é um fluxo constante de faturas, ordens de compra e aprovações. Um e-mail como este pode parecer apenas mais um item na sua fila diária.
“Prezado vendedor
Espero que esteja tudo bem com você!
Estou interessado em comprar este produto e agradeceria se você pudesse me fornecer uma cotação para o seguinte item anexado abaixo:
Quantidade: [f16940-500PCS]
Quaisquer especificações ou detalhes específicos, se aplicável
Além disso, gostaria de saber qual é o prazo de entrega estimado após a confirmação do pedido. Por favor, inclua seu cronograma de entrega habitual e quaisquer termos relevantes.
Por favor, informe-me o custo total, incluindo quaisquer impostos ou taxas aplicáveis e quaisquer outros termos relevantes.
Muito obrigado pela sua ajuda. Aguardo sua resposta imediata.
O que chama a atenção imediatamente é a extensão dupla do arquivo. Anexos com extensões como .pdf.htm são táticas clássicas de phishing. Esses arquivos geralmente são disfarçados como documentos (PDF), mas na verdade são arquivos HTML que abrem em um navegador e podem conter scripts maliciosos ou formulários de phishing.
Mas vamos supor que você não tenha percebido isso. O que acontece quando você abre o anexo?
É exibida uma solicitação de senha em frente a um fundo desfocado. O endereço de e-mail do destinatário já está preenchido. Em segundo plano, o script de phishing captura alguns detalhes do ambiente — IP, geolocalização e agente do usuário — e os envia ao invasor junto com todos os detalhes que você preencheu.
Após uma breve mensagem “Verificando...”, você recebe uma mensagem de erro familiar:
Este é um truque psicológico:
- É plausível (erros de digitação acontecem).
- Isso incentiva uma segunda tentativa de senha, talvez para tentar obter outra senha diferente.
Digite sua senha novamente e cliqueem Avançar, e ela parecerá ter sido aceita.
Em vez de abrir um documento real, você é redirecionado para uma imagem borrada que parece uma fatura hospedada em ibb[.]co. Esse é um domínio abreviado para ImgBB, um serviço legítimo de hospedagem e compartilhamento de imagens. Essa imagem inesperada pode confundir você o suficiente para impedi-lo de alterar imediatamente suas credenciais ou alertar imediatamente seu departamento de TI.
Em vez de enviar as credenciais roubadas por e-mail ou registrá-las em um servidor que pode ser bloqueado por um software de segurança, a página as envia usando um bot do Telegram. O invasor recebe:
- Combinação de e-mail e senha
- IP e geolocalização
- Detalhes do navegador e do sistema operacional
O Telegram é criptografado, amplamente utilizado e, muitas vezes, não é bloqueado pelas organizações, o que o torna um canal popular de comando e controle (C2) para os phishers.
Por mais amadora que essa tentativa de phishing possa parecer, cada vítima que envia dados reais de login ao phisher é uma vitória com um investimento quase nulo. Para o alvo, isso pode se transformar em um pesadelo, que vai desde a necessidade de alterar senhas até o comprometimento de uma conta do Acrobat ou outra, que pode então ser usada e vendida para ataques mais graves.
Como se manter seguro
A boa notícia: uma vez que você sabe o que procurar, esses ataques são muito mais fáceis de detectar e bloquear. A má notícia: eles são baratos, escaláveis e continuarão a circular.
Portanto, da próxima vez que um “PDF” solicitar sua senha em um navegador, pare para pensar no que pode estar oculto por trás disso.
Além de evitar anexos não solicitados, aqui estão algumas maneiras de se manter seguro:
- Acesse suas contas apenas por meio de aplicativos oficiais ou digitando o endereço do site oficial diretamente no seu navegador.
- Verifique cuidadosamente as extensões dos arquivos. Mesmo que um arquivo pareça ser um PDF, ele pode não ser.
- Habilitea autenticação multifatorialpara suas contas críticas.
- Use umasolução antimalwareatualizada e em tempo real com um módulo de proteção da web.
Dica profissional:Malwarebytes Guardreconheceu este e-mail como uma fraude.
Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las
Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
