Uma das razões pelas quais o phishing ainda é uma tática muito utilizada pelos invasores é a facilidade em iniciar a operação maliciosa, graças às ofertas de phishing-as-a-service (PhaaS) pelos cibercriminosos.
Recentemente a Microsoft lançou um relatório sobre um esquema criminoso desta natureza, denominado BulletProofLink, que vende kits de phishing, modelos de e-mail, hospedagem e serviços automatizados a um custo relativamente baixo.
O BulletProofLink ou Anthrax é usado por vários grupos de invasores para fornecer uma solução de página de scam hospedada, chamada de links e logs ‘’totalmente não detectados’’ (FUD), disponível para compra como assinatura mensal ou única, criando um fluxo de receita recorrente para seus operadores.
Os invasores que pagam por esses serviços recebem as credenciais roubadas posteriormente.
Conheça o modelo de Phishing as a Service:
O propósito das gangues de ransomware
O alvo das gangues é que, entre as credenciais comprometidas, estejam senhas para contas de administrador, que permitem maior movimentação na rede comprometida, acesso a dados mais valiosos, e consequentemente, mais lucratividade na venda destas informações.
Como funciona a operação
O BulletProofLink comercializa abertamente na web e em fóruns clandestinos. Ele, inclusive, publicou vídeos ensinando seus clientes a usar suas ferramentas de fraude, em vídeos estilo ‘como fazer’ publicados no YouTube e Vimeo.
Os kits de phishing são vendidos em um arquivo ZIP com modelos de phishing para configurar uma página de login ou e-mails falsos.
Entre os modelos de páginas de login oferecidos, estão os serviços web populares: Microsoft OneDrive, LinkedIn, Adobe, Alibaba, American Express, AOL, AT&T, Dropbox e Google Docs.
O modelo também permite o chamado “roubo duplo”, em que o provedor de serviços de phishing captura as credenciais em nome de um cliente e as vende para outros clientes.
Como foi descoberto o modelo BulletProofLink
Tudo começou quando a Microsoft identificou uma campanha de phishing que operava os serviços BulletProofLink, usando 300.000 subdomínios com a técnica de “abuso de subdomínio infinito”.
Esta técnica ocorre quando um invasor compromete o servidor do sistema de nomes de domínio (DNS) de um site ou quando um site comprometido é configurado com um DNS que permite subdomínios curinga.
Esses subdomínios permitem que os invasores utilizem uma URL exclusiva para cada destinatário, tendo apenas que comprar ou comprometer um domínio por semanas a fio.
Eles são úteis antes que o invasor possa comprometer o DNS de um site e não se preocupar em hackear o próprio site. Ele também permite que empresas de phishing criem inúmeros URLs exclusivos, difíceis de detectar.
Objetivo da pesquisa Microsoft
O objetivo da Microsoft é ajudar os clientes a refinar as regras de filtragem de e-mail e adotar as tecnologias de segurança que ela oferece.
Recomendações para evitar esse tipo de ataque
Recomenda-se o uso de políticas antiphishing para habilitar configurações de inteligência de caixa de correio, definir configurações de proteção contra personificação para mensagens específicas e domínios de remetentes, e a adoção de autenticação multifator para evitar o abuso de credenciais roubadas.
Conheça os Serviços Gerenciados de segurança Assisnet
O SMSA – Security Management Services Assisnet proporciona uma série de vantagens através do formato de “segurança como serviço”, elevando o nível de profissionalização da sua estrutura sem a necessidade de investimentos em aquisição de ativos e softwares de segurança. Clique no link e saiba mais.