2020/01/17

Phishing "conversacional" intromete-se em discussões email


Há uma táctica de phishing que parece estar a ser usada em mais ataques, e que se revela ser de mais difícil detecção por se intrometer em conversas via email que a vítima esteja a ter com pessoas que já conhece.

A maioria das pessoas que se preocupe minimamente com a sua segurança digital já estará suficientemente sensibilizada para ignorar emails que lhes sejam enviados de endereços desconhecidos ou com pedidos suspeitos. No entanto, até elas poderão ser enganadas por esta nova técnica de "sequestro de conversações".

Neste caso, em vez de uma campanha de phishing genérica enviada para milhares de pessoas a ver se alguma delas se deixa enganar, temos um ataque bastante mais direccionado, específico para cada cada potencial vítima - naquilo que se designa por spear-phishing. As condições tornam-se ideais quando o atacante consegue obter forma de aceder à conta de email de uma pessoa que comunique habitualmente com a vítima; dando início a um período em que irá monitorizar as conversas para se familiarizar com a forma de escrita utilizada. Depois, avançará com alguns primeiros emails seus, fazendo-se passar pela outra pessoa - podendo tirar partido de domínios muito idênticos, para redireccionar a conversa para uma nova conta de email e reduzir a hipótese do contacto legítimo detectar emails em seu nome que não enviou.

Nalguns casos estas conversas podem durar semanas, criando ou mantendo uma relação de confiança, até que finalmente o atacante salte para o seu verdadeiro objectivo, que poderá ser obter dados privados, pedir o pagamento de facturas para contas falsas, etc.


Embora estes ataques costumem ter por alvo pessoas em posições específicas em empresas (que possam realizar pagamentos, fornecer acesso a dados sensíveis, etc.) ninguém está livre de se ver numa situação idêntica. Importa por isso ter em mente que mesmo os emails de contactos conhecidos e/ou de confiança poderão potencialmente ser usadas como vector de ataque para estas campanhas. Em caso de qualquer suspeita nada como confirmar se realmente estão a conversar com a pessoa correcta, usando outra forma de contacto - por exemplo, ligando directamente para a empresa do interveniente, e clarificando as coisas que estão a discutir por email (obviamente, não confiando nos contactos que puderem ser fornecidos pelo potencial atacante).

Sem comentários:

Enviar um comentário (problemas a comentar?)