Phishing, fake pages e e-mails do chefe: como os criminosos estão roubando criptomoedas
Cibercriminosos estão explorando diferentes meios para manipular vítimas a enviarem criptomoedas. Phishing e roubo de identidade são os principais
Cibercriminosos estão enviando milhões de e-mails de phishing por dia, com o intuito de roubar Bitcoin e outras criptomoedas de investidores.
Os ataques usam uma variedade de técnicas para induzir as vítimas a transferir altas quantias de Bitcoin, incluindo solicitações falsas de doações à caridade e fraudes de comprometimento de e-mail corporativo (BEC).
De acordo com um relatório publicado pelos pesquisadores de segurança cibernética da Proofpoint, é bloqueado uma média de um milhão de e-mails de extorsão todos os dias, com alguns dias chegando a quase dois milhões de e-mails bloqueados. Os pesquisadores dizem que a maioria desses e-mails de phishing e BECs pedem que a vítima faça pagamentos em criptomoeda, variando, apenas, a razão desse pagamento.
“Ameaças criminais cibernéticas a investidores de criptomoeda não são novidade; no entanto, à medida que o público em geral experimenta uma crescente adesão às criptomoedas, mais propensas elas estão a serem vítimas de ataques de engenharia social, phishing, BECs, dentre outros”, disse um porta-voz da Proofpoint.
Ataques conhecidos são explorados para roubo de criptomoedas
Um ataque comum, por exemplo, é tentar roubar nomes de usuário e senhas.
Em 2022, a Proofpoint observou tentativas regulares de comprometer as carteiras de criptomoedas dos usuários usando coleta de credenciais. Esse método geralmente depende da entrega de uma URL maliciosa dentro de um corpo de e-mail ou de um objeto formatado, que redireciona para uma página falsa de roubo de credenciais.
Outro método muito comum é a extorsão simples. A vítima recebe um e-mail de um “hacker” que afirma ter obtido o controle de seu computador e de suas contas online, bem como a gravações de áudio e vídeos do usuário e seu histórico de navegação. O e-mail tenta chantagear a vítima, alegando que foram obtidas informações “vergonhosas” e que, a menos que o usuário envie 500 dólares em Bitcoin para o endereço de uma carteira de cripto, essas informações serão enviadas a toda a lista de contatos da vítima.
Na realidade, porém, é altamente improvável que haja algum malware na máquina da vítima. O que realmente aconteceu é que um invasor acabou de enviar e-mails de phishing para o maior número possível de usuários. Mas o choque e o medo de ver que alguém afirma ter o controle de seu PC muitas vezes é suficiente para induzir algumas vítimas a fazerem o pagamento.
Por outro lado, alguns ataques de phishing com o objetivo de roubar criptomoedas não são tão contundentes; em vez do medo, tentam explorar a empatia da vítima, enviando mensagens que afirmam gerar fundos para causas nobres, sobretudo no caso de tragédias ou, como acontece até hoje, associadas a alguma pandemia global, como a pandemia do novo coronavírus. Porém, os dados para transferência do dinheiro muito provavelmente levarão à carteira de algum cibercriminoso.
Comprometimento de e-mails visando setor financeiro das empresas se destaca em roubo de criptomoedas
Mais recentemente, solicitações de pagamentos em criptomoeda também estão aparecendo em ataques BEC – tipo de fraude em que os criminosos se apresentam como um colega de trabalho confiável, pedindo que uma grande quantia de dinheiro seja transferida para concluir um negócio importante e urgente. Os ataques podem parecer relativamente simples, mas o BEC é uma das formas mais lucrativas de crime cibernético – sobretudo quando miram colaboradores de grandes organizações.
No exemplo detalhado no relatório, um e-mail enviado por um criminoso e dirigido ao responsável pelo financeiro da empresa afirma que um pagamento urgente é necessário para firmar um acordo de aquisição de negócios. O assunto também é descrito como secreto, então a vítima é instada a não contar a ninguém sobre isso. O objetivo, claramente, é assegurar que a vítima não descubra que se trata de uma farsa.
Nesse caso, o e-mail solicita que pouco mais de 100.000 dólares sejam comprados em Bitcoin e transferidos para uma carteira que supostamente pertence à nova aquisição – mas, na verdade, pertence aos invasores.
Mesmo que a transação seja descoberta posteriormente, será tarde demais para a vítima, e a empresa terá perdido mais de meio milhão de reais, por exemplo.
A melhor maneira de se manter protegido contra ataques de phishing e BEC é se manter atento às técnicas mais usadas por criminosos cibernéticos e ser cauteloso com e-mails que pedem dinheiro, especialmente se eles estão solicitando que seja pago em criptomoeda.
Investir em soluções de segurança também é imprescindível para se manter protegido, sobretudo de ataques BEC. Conheça as soluções da Compugraf e saiba como podemos ajudar!
- Published in Noticias
Script malicioso para roubo de dados de cartão afeta e-commerces ao redor do mundo
Cibercriminosos estão usando arquivos de imagem que esconde um script PHP malicioso, a fim de manipular as páginas de checkout de e-commerces e roubar informações do cartão dos usuários, alerta a Microsoft
Skimmers é como são chamados os cibercriminosos que utilizam táticas para roubar informações de pagamento de usuários em e-commerces e outras plataformas de venda.
De acordo com a Microsoft, malwares de desvio de cartão estão usando cada vez mais scripts PHP maliciosos em servidores da web para manipular páginas de pagamento, a fim de contornar as defesas nativas do navegador, desencadeadas por códigos JavaScript.
Os pesquisadores da Microsoft também observaram uma mudança nas estratégias usadas pelos skimmers.
Ao longo da última década, a atividade foi dominada pelo Magecart, malware conhecido para este fim, que depende do código JavaScript para injetar scripts nas páginas de checkout e entregar uma carga que captura e rouba detalhes de cartões de débito ou crédito.
A injeção de JavaScript em processos de front-end foi “muito evidente”, observa a Microsoft, porque pode ter acionado proteções do navegador, como a Política de Segurança de Conteúdo (CSP), que impede o carregamento de scripts externos. Os criminosos, então, encontraram formas menos espalhafatosas, corrompendo os servidores da web com scripts PHP maliciosos.
Em novembro de 2021, a Microsoft encontrou dois arquivos de imagem maliciosos, incluindo um favicon de navegador falso, sendo carregados em um servidor hospedado no Magento. Magento é uma plataforma de e-commerce popular, utilizada em todo o mundo.
As imagens continham script PHP incorporado, que, por padrão, não é executado no servidor afetado. Em vez disso, o script PHP só é executado após confirmar, por meio de cookies, que o administrador da web não está conectado no momento, para segmentar apenas compradores – isto é, os alvos de ataque.
Como funciona o script malicioso para roubo de dados de cartão
Uma vez que o script PHP é executado, ele recupera a URL da página atual e procura por “checkout” e “one page“, duas palavras-chave que redirecionam para a página de checkout do Magneto.
“A inserção do script PHP em um arquivo de imagem é interessante porque, por padrão, o servidor web não executaria o código referido . Com base em ataques semelhantes, acreditamos que o invasor usou uma expressão PHP ‘include‘ para incluir o favicon (que contém o código PHP) na página de índice do site, para que seja carregado automaticamente a cada visita à página”, explicou a Microsoft.
Aumento no uso de PHP malicioso em malwares de skimming preocupa autoridades
O FBI alertou, em maio, sobre novos casos de invasores usando PHP malicioso para infectar as páginas de checkout de e-commerces dos EUA, com o objetivo de conseguir acesso remoto via backdoor ao servidor da web. Um relatório privado descobriu que 41% dos novos malwares de clonagem de cartão de crédito observados em 2021 estavam relacionados a skimmers PHP direcionados a servidores back-end.
No início de maio, a Malwarebytes informou que o Magecart Group 12 estava distribuindo um novo malware webshell, que carrega, de forma dinâmica, o código de skimming de JavaScript por meio de solicitações do servidor de lojas online.
“Esta técnica é interessante, pois a maioria das ferramentas de segurança do lado do cliente não será capaz de detectar ou bloquear o skimmer”, observou a Malwarebytes.
“Ao contrário de incidentes anteriores, em que uma imagem de favicon falsa foi usada para ocultar código JavaScript malicioso, neste caso se tratava de um webshell PHP”.
Mas o JavaScript malicioso continua a fazer parte das estratégias de skimming.
Por exemplo: a Microsoft encontrou exemplos de malware com base em JavaScript para spoofing do Google Analytics e do Meta Pixel (anteriormente Facebook Pixel), o que poderia induzir administradores de servidores de e-commerce a pensar que os scripts são benignos, uma vez que é comum no mercado a integração com ditas plataformas de anúncios e análise de dados.
Com a constante evolução tática dos cibercriminosos, é preciso pensar a segurança de forma estrutural.
Conheça as soluções da Compugraf e saiba como podemos ajudar a manter o seu negócio seguro!
- Published in Noticias