Google reCAPTCHA e phishing: hackers usam o Google reCAPTCHA para ocultar URLs de phishing e derrotar os scanners de segurança de e-mail para roubar as credenciais dos usuários
A notícia original em inglês está disponível neste link.
A empresa de segurança cibernética Avanan detalhou uma campanha explorando o serviço reCAPTCHA do Google para contornar a segurança do e-mail e redirecionar os usuários para URLs de phishing. Os sites utilizam CAPTCHA para garantir que eles estejam interagindo com humanos reais e não com robôs.
De acordo com o relatório, os atores da ameaça estão enviando e-mails com um anexo HTML que redireciona o alvo para um Google CAPTCHA. Enquanto muitas organizações implementam gateways de e-mail seguros (SEGs) para proteger os usuários de e-mails de phishing. estas ferramentas são interrompidas por quebra-cabeças reCAPTCHA.
Como os scanners de segurança automatizados não podem resolver o desafio CAPTCHA e determinar a URL de destino, os atores da ameaça estão usando CAPTCHAs para esconder conteúdo malicioso.
Os atacantes evadem os recursos de segurança de e-mail escondendo URLs de phishing por trás do Google CAPTCHA
A Avanan observou agentes de ameaça usando domínios legítimos e formulários CAPTCHA para contornar filtros de e-mail seguros e chegar às caixas de entrada dos usuários.
Eles enviam e-mails de phishing com um PDF que não está protegido por senha, alegando ser um documento enviado por fax.
Quando uma vítima abre o documento, ele os redireciona para uma página CAPTCHA. Após resolver o quebra-cabeça, a página redireciona o usuário para a página de phishing real, parecendo-se com uma tela de login da Microsoft. A página de phishing então solicita que a vítima introduza suas credenciais, que acabam no banco de dados do atacante.
Os atacantes exploram a confiança que a maioria dos usuários tem no serviço reCAPTCHA do Google, além dos e-mails de phishing originados de um site legítimo. Neste caso, os atacantes usaram um site universitário comprometido para enviar e-mails de phishing.
Por padrão, a maioria dos serviços de e-mail detecta e bloqueia URLs de phishing embutidos em e-mails. Entretanto, como os formulários reCAPTCHA se conectam aos domínios do Google, as ferramentas de segurança de e-mail não conseguem deter tais ataques.
“Talvez o CAPTCHA mais popular seja o reCAPTCHA do Google. O Google é inerentemente confiável pela maioria dos scanners de segurança, pois você não pode simplesmente bloquear o Google. O serviço reCAPTCHA faz conexões com endereços IP que pertencem ao Google e que já estão na maioria das listas permitidas”.
Além disso, a incapacidade das ferramentas de segurança de e-mail para resolver o Google CAPTCHAs impede que elas determinem o conteúdo do e-mail.
O uso de um documento protegido por senha, além do uso de uma página falsa da Microsoft OneDrive de forma convincente, aumenta a ilusão de segurança.
Neste caso, um scanner automático de segurança de e-mail deve extrair a URL de destino de um documento PDF e resolver o CAPTCHA. Estas condições impedem que os scanners de segurança de e-mail detectem URLs de phishing em anexos.
Da mesma forma, a maioria dos serviços de e-mail fornece visualizações de anexos permitindo que os usuários determinem o conteúdo do e-mail. Entretanto, a incapacidade dos recursos automatizados de segurança de e-mail para resolver o captcha e gerar uma pré-visualização força os usuários a baixar o anexo.
Como se defender contra URLs de phishing que contornam a segurança de e-mail
Avanan apresentou várias técnicas para evitar ser atraído para URLs de phishing por e-mails maliciosos que contornam os recursos de segurança de e-mail.
A empresa aconselhou os usuários a verificar os URLs de destino antes de resolver os quebra-cabeças de captura para evitar ser redirecionado, sem saber, para sites de phishing e cair em ataques de phishing.
Além disso, os remetentes devem perguntar aos destinatários se os documentos PDF anexados deveriam ter sido protegidos por senha. Os destinatários também devem perguntar ao remetente se enviaram o documento por fax de casa ou do escritório porque “se trabalharem de casa, é provável que não o tenham enviado por fax”.
Estas recomendações provam que o comportamento do usuário é a primeira linha de defesa contra URLs de phishing ocultas atrás de captchas. O comportamento humano continua sendo o calcanhar de Aquiles da segurança cibernética, dando aos golpistas uma vantagem sobre as equipes de segurança das organizações.