Os atacantes estão a enviar e-mails falsos muito convincentes do «Google» que passam pelos filtros de spam, direcionam as vítimas para vários serviços confiáveis do Google e, por fim, levam a uma página de login semelhante ao Microsoft 365, projetada para coletar nomes de utilizador e senhas.
Investigadores descobriu que os cibercriminosos usavam Integração de aplicações do Google CloudA funcionalidade Enviar e-mail para enviar e-mails de phishing a partir de um endereço legítimo do Google: noreply-application-integration@google[.]com.
O Google Cloud Application Integration permite aos utilizadores automatizar processos empresariais, ligando qualquer aplicação com configurações do tipo apontar e clicar. Os novos clientes recebem atualmente créditos gratuitos, o que reduz a barreira à entrada e pode atrair alguns cibercriminosos.
O e-mail inicial chega de um endereço que parece ser realmente do Google e faz referência a algo rotineiro e familiar, como uma notificação de mensagem de voz, uma tarefa a ser concluída ou permissões para aceder a um documento. O e-mail inclui um link que direciona para um URL genuíno do Google Cloud Storage, de modo que o endereço da web parece pertencer ao Google e não parece ser uma falsificação óbvia.
Após o primeiro clique, é redirecionado para outro domínio relacionado com o Google (googleusercontent[.]com) mostrando um CAPTCHA ou verificação de imagem. Depois de passar na verificação "Não sou um robô", você é direcionado para o que parece ser uma página normal de início de sessão do Microsoft 365, mas, ao examinar mais de perto, percebe-se que o endereço da web não é um domínio oficial da Microsoft.
Quaisquer credenciais fornecidas neste site serão capturadas pelos atacantes.
O uso da infraestrutura do Google proporciona aos phishers um maior nível de confiança tanto dos filtros de e-mail quanto dos usuários destinatários. Isso não é uma vulnerabilidade, apenas um abuso dos serviços baseados em nuvem que o Google oferece.
Resposta do Google
O Google afirmou que tomou medidas contra essa atividade:
“Bloqueamos várias campanhas de phishing envolvendo o uso indevido de um recurso de notificação por e-mail no Google Cloud Application Integration. É importante ressaltar que essa atividade decorreu do uso indevido de uma ferramenta de automação de fluxo de trabalho, e não de uma violação da infraestrutura do Google. Embora tenhamos implementado proteções para defender os utilizadores contra esse ataque específico, recomendamos cautela contínua, pois agentes mal-intencionados frequentemente tentam se passar por marcas confiáveis. Estamos tomando medidas adicionais para evitar novos usos indevidos.”
Vimos várias campanhas de phishing que abusam de fluxos de trabalho confiáveis de empresas como Google, PayPal, DocuSign e outros fornecedores de serviços baseados na nuvem para dar credibilidade a e-mails de phishing e redirecionar os alvos para os seus sites de recolha de credenciais.
Como se manter seguro
Campanhas como essas mostram que parte da responsabilidade por identificar e-mails de phishing ainda recai sobre o destinatário. Além de se manter informado, aqui estão algumas outras dicas que pode seguir para se manter seguro.
- Verifique sempre o endereço realda página de login; se não for um domínio genuíno da Microsoft, não insira as suas credenciais. Utilizar um gestor de palavras-passe ajudará, pois ele não preencherá automaticamente os seus dados em sites falsos.
- Tenha cuidado com e-mails «urgentes» sobre mensagens de voz, partilha de documentos ou permissões, mesmo que pareçam ter sido enviados pelo Google ou pela Microsoft. Criar urgência é uma tática comum usada por golpistas e phishers.
- Acesse diretamente o serviço sempre que possível. Em vez de clicar em links em e-mails, abra o OneDrive, Teams ou o Outlook usando o seu marcador ou aplicativo normal.
- Use autenticação multifatorial (MFA) para que senhas roubadas por si só não sejam suficientes e revise regularmente quais aplicativos têm acesso à sua conta e remova tudo o que você não reconhecer.
Dica profissional:Malwarebytes Guard consegue reconhecer e-mails como este como sendo fraudes. Podecarregar textos, e-mails, anexos e outros ficheiros suspeitos e pedir a opinião do programa. Ele é realmente muito bom a reconhecer fraudes.
Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las
Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
