Cibercriminosos exploram a plataforma de pagamento instantânea PIX em novo ataque de phishing
Quando surge uma nova tecnologia, os golpistas costumam aproveitar a oportunidade para usá-la como isca para roubar informações pessoais. Quando a tecnologia é apoiada por uma grande organização e destinada ao uso por um país inteiro, é provável que a vejamos sendo usada de maneiras nefastas.
Forcepoint Advanced Classification Engine (ACE)
Leia o Solution BriefO PIX, novo serviço de transferência instantânea de dinheiro, está sendo lançado ao público em 16 de novembro de 2020 pelo Banco Central do Brasil (BCB). A Forcepoint X-Labs viu várias campanhas de phishing por e-mail usando este serviço como uma isca para roubar informações bancárias e senhas de possíveis vítimas.
A maior campanha que descobrimos, com com mais de 4.000 emails de phishing enviados (e bloqueados pelo Forcepoint Email Security) em 21 de outubro de 2020, incentiva os usuários a se registrarem no serviço com avisos de cobranças adicionais e contas bloqueadas se não agirem rapidamente.
Este é o conteúdo do e-mail de phishing:
“O cadastramento para o novo método de pagamento PIX está disponível desde 5 de outubro, mas ainda não identificamos sua adesão. Efetue a verificação e evite cobrança de tarifas ou bloqueio temporário de sua conta.
Afinal, o que é PIX?
- Uma maneira nova e muito mais fácil de pagar e receber dinheiro, em segundos, criada pelo Banco Central.
Verifique agora, o procedimento é rápido e simples.”
Uma segunda campanha menor foi descoberta em 6 de outubro de 2020 composta por mais de 1.500 e-mails com um simples link para se registrar no serviço. Esta informação é oportuna e enganosa, uma vez que o registo das chaves (e-mail, número de celular, etc.) terá início em 3 de novembro de 2020 de acordo com documentos públicos.
Este é o conteúdo do segundo e-mail de phishing:
“Prezado Cliente CAIXA.
É hora de registrar sua chave PIX,
Faça seu cadastro aqui em menos de 1 minuto, é rápido e simples.
Autoatendimento CAIXA - 2020”
Esta campanha usou um URL de apelo à ação do serviço de hospedagem gratuita do Google para dar alguma legitimidade ao e-mail de phishing e contornar a verificação de segurança.
Nos últimos anos, pesquisadores de toda a indústria observaram um grande aumento no uso malicioso de serviços de host gratuitos, como o Firebase do Google, o Azure da Microsoft e outros. Isso foi amplamente divulgado por muitas publicações de segurança, mas os serviços continuam a ser explorados com pouquíssima atenção de seus administradores.
Web Phishing
Os URLs de phishing nas campanhas acima não exibiam nenhum conteúdo no momento da escrita, no entanto, o Forcepoint X-Labs está constantemente atualizando e criando novas análises para nosso Forcepoint Advanced Classification Engine (ACE) para detectar páginas de phishing de coleta de credenciais conforme descobertas.
Conclusão
Conforme descrevemos em nosso blog sobre o COVID-19 sendo usado como isca para campanhas maliciosas e de phishing, enfatizamos o uso de cautela ao receber e-mails inesperados relacionados a um evento ou tecnologia bem divulgados.
As táticas, técnicas e procedimentos do atacante (TTP) permanecem consistentes ao longo do tempo com o tema da isca mudando para alavancar os eventos atuais. Se mantida atualizada, seus componentes de segurança da web e de e-mail devem permanecer eficazes contra esses ajustes no cenário de ameaças.
Declaração de Proteção
Os clientes da Forcepoint estão protegidos contra essa ameaça nos seguintes estágios de ataque:
- Estágio 2 (isca) – e-mails maliciosos associados a esses ataques são identificados e bloqueados.
- Etapa 4 (exploração) – sites maliciosos são identificados e bloqueados.