{"id":21257,"date":"2024-10-02T17:14:37","date_gmt":"2024-10-02T20:14:37","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21257"},"modified":"2024-10-02T17:14:37","modified_gmt":"2024-10-02T20:14:37","slug":"phishing-utiliza-google-drawings-e-links-do-whatsapp","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/10\/exploits\/phishing-utiliza-google-drawings-e-links-do-whatsapp\/","title":{"rendered":"Phishing utiliza Google Drawings e links do WhatsApp"},"content":{"rendered":"\n

Novo golpe de phishing utiliza Google Drawings e links encurtados do WhatsApp<\/strong><\/p>\n

Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram uma nova campanha de phishing que usa o Google Drawings e links encurtados gerados via WhatsApp para evitar a detec\u00e7\u00e3o e enganar os usu\u00e1rios, desta forma induzindo-os a clicar em links fraudulentos projetados para roubar informa\u00e7\u00f5es confidenciais.<\/p>\n

\u00a0<\/p>\n

Detalhes da amea\u00e7a<\/strong><\/p>\n

De acordo com o pesquisador Ashwin Vamshi, da Menlo Security, os atacantes usaram um conjunto de sites amplamente conhecidos para montar o golpe, incluindo Google e WhatsApp para hospedar os elementos do ataque e uma p\u00e1gina falsa que imita a da Amazon para coletar os dados das v\u00edtimas. Vamshi classifica o golpe como uma amea\u00e7a baseada em \u201cLiving Off Trusted Sites\u201d (LoTS), ou seja ataques que exploram sites leg\u00edtimos para ganhar a confian\u00e7a dos usu\u00e1rios.<\/p>\n

O ponto de partida do ataque \u00e9 um e-mail de phishing que direciona os destinat\u00e1rios para uma imagem que aparenta ser um link de verifica\u00e7\u00e3o de conta da Amazon. Essa imagem, por sua vez est\u00e1 hospedada no Google Drawings, sendo uma tentativa clara de evadir a detec\u00e7\u00e3o por softwares de seguran\u00e7a.<\/p>\n

O uso de servi\u00e7os leg\u00edtimos tem vantagens \u00f3bvias para os atacantes, al\u00e9m de ser uma solu\u00e7\u00e3o de baixo custo, oferece um meio dissimulado de comunica\u00e7\u00e3o dentro das redes, pois esses sites confi\u00e1veis s\u00e3o menos propensos a serem bloqueados por produtos de seguran\u00e7a ou firewalls.<\/p>\n

\u00a0<\/p>\n

Como funciona o golpe<\/strong><\/p>\n

O ataque come\u00e7a com um e-mail de phishing que parece leg\u00edtimo, geralmente disfar\u00e7ado como uma notifica\u00e7\u00e3o da Amazon. O e-mail cont\u00e9m uma imagem que simula um link de verifica\u00e7\u00e3o de conta. Quando o usu\u00e1rio clica \u00e9 levado para uma p\u00e1gina falsa da Amazon, onde ser\u00e1 solicitado a inserir seus dados pessoais, como nome de usu\u00e1rio, senha e informa\u00e7\u00f5es do cart\u00e3o de cr\u00e9dito.<\/p>\n

O truque aqui \u00e9 que a imagem \u00e9 hospedada no Google Drawings. Vamshi explica que essa plataforma \u00e9 atraente para os atacantes porque permite que eles incluam links nas imagens que muitas vezes passam despercebidos pelos usu\u00e1rios, especialmente se houver um senso de urg\u00eancia associado, como uma amea\u00e7a de encerramento de conta.<\/p>\n

O golpe tamb\u00e9m utiliza dois encurtadores de URL em sequ\u00eancia, primeiro um link encurtado do WhatsApp (l.wl[.]co), seguido por outro encurtador (qrco[.]de). Essa dupla camuflagem dificulta que os mecanismos de detec\u00e7\u00e3o de phishing identifiquem o link como uma amea\u00e7a, criando uma camada adicional de ofusca\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

\"Phishing<\/a><\/div>\n
\u00a0<\/div>\n
\u00a0<\/div>\n

Riscos e consequ\u00eancias<\/strong><\/p>\n

Os usu\u00e1rios que clicam no link e inserem suas credenciais na p\u00e1gina falsa acabam enviando essas informa\u00e7\u00f5es diretamente para os cibercriminosos. Ap\u00f3s a coleta dos dados as v\u00edtimas s\u00e3o redirecionadas para a p\u00e1gina verdadeira da Amazon, o que pode enganar os menos atentos, fazendo-os acreditar que houve algum erro de login.<\/p>\n

Al\u00e9m disso, para evitar que o golpe seja descoberto ou repetido pela mesma pessoa, a p\u00e1gina falsa se torna inacess\u00edvel a partir do mesmo endere\u00e7o IP uma vez que as credenciais s\u00e3o inseridas e validadas, o que complica a detec\u00e7\u00e3o por parte dos usu\u00e1rios ou investigadores de seguran\u00e7a.<\/p>\n

\u00a0<\/p>\n

Vulnerabilidade do Microsoft 365<\/strong><\/p>\n

Em paralelo a este ataque, pesquisadores identificaram uma vulnerabilidade nos mecanismos anti-phishing do Microsoft 365. A falha permite que os atacantes ocultem a dica de seguran\u00e7a de “Primeiro Contato” (First Contact Safety Tip), que alerta os usu\u00e1rios quando recebem e-mails de um endere\u00e7o desconhecido.<\/p>\n

Usando truques com CSS, os atacantes conseguem\u00a0esconder essa mensagem de aviso nas configura\u00e7\u00f5es de estilo de um e-mail em HTML, aumentando as chances de que o usu\u00e1rio abra o e-mail malicioso sem perceber o risco. Al\u00e9m disso, os criminosos podem at\u00e9 falsificar os \u00edcones que o Microsoft Outlook adiciona a e-mails que s\u00e3o criptografados ou assinados, o que torna o ataque ainda mais convincente.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o e recomenda\u00e7\u00f5es<\/strong><\/p>\n

Este golpe de phishing destaca a crescente sofistica\u00e7\u00e3o das t\u00e9cnicas usadas por cibercriminosos, que aproveitam a confian\u00e7a em plataformas leg\u00edtimas para enganar os usu\u00e1rios. Para se proteger de ataques como esse \u00e9 essencial seguir algumas pr\u00e1ticas recomendadas:<\/p>\n