Informagno | Gestão em TI

Ataques de phishing a provedores de hospedagem

Hoje, vamos falar sobre o recente ataque a uma conta pessoal por meio de um site de provedor de hospedagem. Esse tipo de ataque é muito atraente para os cibercriminosos. Veja como funcionou e até onde esse tipo de violação pode chegar.

Golpe de phishing

O ataque começou com um phishing clássico. Nesse caso, eles tentaram amedrontar o destinatário para uma ação rápida invocando um ciberataque – fingindo ser o provedor de hospedagem, os criminosos alegaram que bloquearam temporariamente a conta em resposta a uma tentativa de comprar um domínio suspeito por meio dela. Para recuperar o controle da conta, eles disseram ser necessário que o destinatário clicasse no link e fizesse login em sua conta pessoal.E-mail de phishing enviado por cibercriminosos se passando por um provedor de hospedagem

E-mail de phishing enviado por cibercriminosos se passando por um provedor de hospedagem

O corpo da mensagem está cheio de sinais de alertas. Ele não contém o nome do provedor nem seu logotipo, sugerindo o uso de um modelo comum para clientes de diferentes provedores de hospedagem. O nome aparece apenas uma vez, no remetente. Além do mais, esse nome não corresponde ao domínio de e-mail, um sinal óbvio de que algo está errado.

O link leva a uma página de login pouco convincente. Até mesmo o esquema de cores não faz sentido. O que os criminosos esperam aqui é que o usuário realize uma ação em pânico e não perceba nada.Páginas falsas

Páginas falsas

Como em qualquer golpe envolvendo phishing, inserir credenciais nesta página é equivalente a passar o controle aos cibercriminosos. Nesse caso, entretanto, isso significa entregar as chaves do site corporativo. Estranhamente, eles também pedem alguns detalhes financeiros, cujo objetivo não é claro.

Por que um provedor de hospedagem?

Dando uma olhada geral na página de login. Está tudo certo com os certificados do site criado para aplicar o golpe de phishing. Sua reputação parece boa. Isso faz sentido. Os cibercriminosos não criaram o domínio, apenas o invadiram, provavelmente usando as conquistas de um ataque anterior bem-sucedido.

O que os cibercriminosos podem fazer com o controle de uma conta pessoal no site de hospedagem depende do provedor. Eis alguns exemplos prováveis, eles podem vincular a outro conteúdo, atualizar o conteúdo do site por meio de uma interface da Web e alterar a senha do FTP para gerenciamento de conteúdo. Em outras palavras, os cibercriminosos têm muitas opções.

Possibilidades muito amplas? Bem, aqui estão algumas ideias mais específicas. Se os cibercriminosos assumirem o controle do seu site, eles podem adicionar uma página de phishing, usar o seu site para hospedar um link para download de malware ou até mesmo usá-lo para atacar seus clientes. Em suma, eles podem negociar o nome da sua empresa e a reputação do site para fins maliciosos.

Como se proteger contra os ataques de phishing

Os e-mails de phishing podem ser muito persuasivos. Para evitar o golpe, em primeiro lugar, os funcionários precisam estar vigilantes. Recomendamos que você:

  • Mantenha a política de nunca clicar em links de uma conta pessoal. Qualquer pessoa que receber uma mensagem preocupante de seu provedor de hospedagem deve fazer login no site legítimo, começando por digitar o endereço na barra de endereços do navegador.
  • Ative a autenticação de dois fatores no site do provedor. Se o provedor não oferece 2FA, descubra quando eles planejam adicionar o recurso.
  • Permaneça alerta para sinais óbvios de phishing (como incompatibilidade entre o nome do remetente e o domínio de e-mail ou nomes de domínio incorretos em sites). O ideal é treinar os funcionários para identificar tentativas de phishing (uma opção é usar uma plataforma de treinamento online).
  • Instale soluções de segurança de e-mail corporativo em todos os servidores e dispositivos que os funcionários usam para acesso à Internet.

Fonte: kaspersky