'TurkeyBombing' Phishing Scam

Vivemos em tempos precários e sem precedentes, em que nossas vidas diárias foram prejudicadas como consequência da pandemia global. Grandes segmentos de pessoas foram forçados a mover vários aspectos de suas atividades normais para o reino online, criando uma oportunidade significativa para os cibercriminosos. No início de 2020, os pesquisadores da infosec já descobriram vários casos em que os atores de ameaças tiraram proveito da plataforma Zoom Video Communications para interromper reuniões online em ambos os ambientes de trabalho, bem como pessoas se conectando com suas famílias e parentes.

Uma campanha muito mais sinistra, no entanto, foi desencadeada por volta do Dia de Ação de Graças e poderia continuar por um tempo. Chamada de TurkeyBombing, ela teve como alvo milhões de vítimas em potencial, com milhares que já caíram na tática. O objetivo dos cibercriminosos é obter as credenciais da Microsoft de usuários desavisados do Zoom que podem ter usado a plataforma no longo fim de semana de Ação de Graças.

Hackers Se Aproveitam do Dia de Ação de Graças para Realizar Ataques de Phishing

O ataque começa com os hackers disseminando incontáveis e-mails de phishing. Os e-mails enganosos afirmam que o usuário-alvo recebeu um convite de videoconferência e contêm um link que deve levar o usuário à chamada. Em vez disso, o link corrompido redireciona para uma página de login falsa da Microsoft hospedada em Appspot.com. Este é um domínio legítimo que os desenvolvedores de software costumam usar para hospedar aplicativos da Web em um data center gerenciado pelo Google.

A página de login está longe de ser legítima, pois coleta todas as credenciais inseridas pela vítima. Para diminuir ainda mais as chances dos usuários perceberem que algo está errado, a página de login falsa preenche previamente o campo solicitando um endereço de e-mail com o e-mail do usuário. Em seguida, ele pede as credenciais de uma conta da Microsoft associada. Além de coletar todas essas credenciais, a página de destino também registra o endereço IP e a geolocalização da vítima. Se os hackers receberem as credenciais de uma conta com privilégios da Microsoft, eles tentarão acessá-la por meio de uma verificação de credencial IMAP (Internet Message Access Protocol).

Até agora, foi confirmado que os cibercriminosos conseguiram obter mais de 3600 endereços de e-mail exclusivos das vítimas. Com milhões de pessoas tentando ver seus entes queridos no fim de semana de Ação de Graças, resultando em vários milhões de chamadas de vídeo, o número real de contas comprometidas pode ser muito maior.