Phishers Exploram Demissões de Funcionários e Preocupações com a Folha de Pagamento
O clima atual de trabalho em casa viu várias campanhas de phishing perseguindo as credenciais WebEx e Zoom dos funcionários da empresa em todo o mundo. Duas novas campanhas estavam tentando explorar esses medos, enviando e-mails falsos da 'Reunião do zoom sobre rescisão' e notificações falsas sobre o 'Processamento de estimulação/folha de pagamento COVID-19'.
O Phishing no Zoom Durante a Pandemia
Uma das campanhas de phishing, notada pela Abnormal Security, estava trabalhando com e-mails supostamente provenientes dos Recursos Humanos da organização. Ele estava pedindo aos destinatários que participassem de uma reunião do Zoom que supostamente começaria em alguns minutos.
O suposto ponto de discussão na reunião seria a rescisão do funcionário visado. O link fornecido pode enganar a vítima com uma página de login falsificada do Zoom hospedada no zoom-emergency.myftp.org. A empresa mencionou que o email tem a aparência e o formato de um lembrete legítimo de reunião que é frequentemente usado pelo Zoom. A única diferença é a funcionalidade na página de phishing, com os campos de login usados para roubar todas as credenciais que a vítima coloca. As vítimas dificilmente entenderiam que esse era um design feito para roubar as suas informações de login.
A maioria dos usuários do Zoom examinaria a página de login, acreditando que a sessão havia expirado, e poderiam tentar entrar novamente. Isso provavelmente levaria à inserção das suas credenciais de login sem consultar o URL ou verificar se haviam links que não funcionassem na página.
O Phishing era Usado para Entregar Malware às Vítimas
A segunda campanha de phishing foi criada com o objetivo de parecer um email legítimo de um contratado de RH. Ele informa os funcionários sobre estímulos adicionais fornecidos a eles e solicita que analisem o 'Relatório da folha de pagamento' mais recente.
O email continha um link para um relatório falso da folha de pagamento no Google Docs, com outro link dentro dele. O documento afirmava que o relatório não poderia ser visualizado em dispositivos móveis; portanto, ele deveria ser visto nos computadores corporativos. O link leva ao download de um malware, divulgou a empresa.
Nesse caso, o ataque usa as crescentes preocupações com as folhas de pagamento dos funcionários durante a pandemia do COVID-19. É muito provável que os usuários visados leiam as mensagens, preocupados com a situação, com pressa de agarrar o suposto estímulo e ignorando os sinais óbvios de que algo está errado. Tirar proveito do desespero das pessoas em uma crise não é novidade, uma vez que os atacantes e os golpistas o fazem há muito tempo.
Os usuários são aconselhados a prestar muita atenção aos detalhes durante a crise, procurando URLs estranhos ou coisas que não se encaixam no habitual para identificar golpistas e engenheiros sociais.