Um novo golpe de phishing chamado “file archives in the browser” emula um software de armazenamento de arquivos, como o WinRar, em um navegador quando o usuário visita um domínio .ZIP, divulgou o pesquisador de segurança mr.d0x há poucos dias. O golpe exibe janelas falsas do WinRar ou do Windows File Explorer no navegador para convencer o usuário a executar arquivos maliciosos.
O golpe começou depois que o Google lançou novos domínios de nível superior (TLD), que incluíam o .ZIP, o que levou a especialistas de segurança alertarem sobre o possível uso indevido desse e de outros domínios, por exemplo, transformando uma string que termine com ‘.zip’, como setup.zip, em um link clicável que possa servir como um meio de entregar malwares ou viabilizar ataques de phishing.
Um exemplo prático ocorre no Twitter, quando alguém envia instruções sobre como baixar um arquivo .zip, como setup.zip, e a plataforma automaticamente o transforma em um link clicável, induzindo os usuários a clicarem para baixar o arquivo. Quando isso é feito, uma aba é aberta no navegador redirecionando o usuário para um site potencialmente malicioso.
Como funciona o golpe
Para realizar o ataque, o invasor precisa emular um software de armazenamento de arquivos por meio de uma página HTML/CSS. Com isso, um ator mal-intencionado pode criar uma página de destino “realista” que imita o software de arquivamento de arquivos, hospedar em um domínio .zip e ativar campanhas de engenharia social, por exemplo, direcionando usuários para um arquivo compactado falso que, quando clicado, pode coletar suas credenciais.
É possível, inclusive, como alguns pesquisadores fizeram, incluir um ícone “Scan” na página falsa, para que o usuário clique e receba a informação de que o arquivo é seguro, evitando suspeitas e tornando o golpe mais verossímil. Assim que o arquivo é clicado, os cenários de ataque variam desde redirecionar o usuário para uma página destino para roubar suas credenciais até enganá-lo para clicar em um arquivo supostamente legítimo para executar um malware.
A barra de pesquisa do Windows File Explorer foi considerada um método de entrega eficaz, já que, se um usuário pesquisar por um arquivo .zip na sua máquina, como fatura.zip, e não encontrar, automaticamente o navegador abrirá uma aba levando para o endereço fatura.zip, podendo levar o usuário para um site potencialmente perigoso.
Como evitar o ataque “file archives in the browser”
De acordo com especialistas em segurança, os domínios TLD podem ser utilizados por criminosos para disseminar campanhas de phishing, o que torna o conhecimento da técnica essencial para reduzir riscos. Isso acontece porque o .ZIP é uma extensão de arquivo legítimo, o que pode confundir usuários menos atentos a abrir o arquivo e baixar o malware.
Por isso é recomendável que as organizações implementem bloqueios para domínios .ZIP, já que é esperado um aumento nos casos de phishing que utilizam o método “file archives in the browser”.
Reduza os riscos de golpes de phishing
Pesquisadores detectaram um aumento de 25% no uso de kits de phishing em 2022, identificando 3677 kits exclusivos. O uso desses kits também deixa claro que os ataques estão ficando cada vez mais sofisticados, incluindo recursos de evasão de detecção, como antibots e diretórios dinâmicos. Isso pode ser observado em uma onda de ataques que aproveitaram contas comprometidas do Microsoft 365 e e-mails criptógrafos para capturar credenciais dos usuários, que incluem links de URL não identificados por programas de verificação de e-mail.
Além disso, levantamento da Proofpoint indica que recursos do Microsoft Teams podem ser usados para disseminar phishing e malware por meio do envio de convites para reuniões que substituem URLs padrão por links comprometidos por meio de chamadas de API.
Isso deixa claro que implementar práticas que auxiliem os usuários a identificar um ataque phishing é essencial para reduzir os riscos.
Aprenda a identificar phishing
Mensagens urgentes, com erros gramaticais e impessoais, ou com ofertas tentadoras, geralmente indicam um possível golpe de phishing.
Não caia em uma falsa sensação de segurança
Os golpes de phishing evoluíram bastante, a tradicional mensagem de um príncipe nigeriano que precisa de ajuda não é mais tão frequente. Mas não se engane pensando que todos os golpes são simplistas. Muitos são extremamente sofisticados e direcionados a uma pessoa específica, o que torna sua detecção mais difícil.
Não clique em links em e-mails
Nunca clique em um link recebido por e-mail, digite o endereço da página. Entretanto, se for necessário clicar no link, passe o cursor do mouse sobre a URL e verifique o endereço.
Não confie em sites inseguros
Sempre verifique se a URL do site começa com HTTPS ou tenha um ícone de cadeado fechado, isso indica que o site conta com recursos de segurança para evitar que suas informações sejam roubadas.
Não divulgue informações pessoais
Nunca insira informações pessoais em um site desconhecido ou que pareça suspeito. Da mesma forma, não compartilhe suas informações em mídias sociais.
Atualize sistemas regularmente
Atualizações regulares e automáticas são fundamentais para corrigir vulnerabilidades, portanto, jamais as ignore ou desative. Manter os programas atualizados garante que o sistema esteja preparado para evitar ataques cibernéticos e ataques de phishing.
Bloqueie pop-ups
Além de irritantes, as pop-ups são muito utilizadas para ataques de phishing. Nos navegadores atuais, é possível ativar o bloqueio e adicionar recursos anti-phishing, ad-block ou pop-up-blocking. E mesmo que um pop-up fure o bloqueio, analise antes de tentar fechá-lo, muitos golpes incluem um botão “Cancelar” que, provavelmente, irá redirecionar o usuário para um site de phishing. Sempre use o sinal X para sair.
Habilite a autenticação multifator
A autenticação de dois fatores não consegue impedir a totalidade dos golpes de phishing. Para isso, a autenticação multifator (MFA) resistente a phishing é a mais indicada.
Habilite firewalls
Certifique-se que o servidor de e-mails da empresa conte com recursos de segurança para filtrar e-mails mal-intencionados. Além disso, use firewalls de rede e no computador de trabalho para criar uma camada extra de segurança.
Aumente o conhecimento sobre phishing
Ataques de phishing só são bem-sucedidos se o usuário for convencido a realizar uma determinada ação. Por isso, implemente um treinamento de conscientização de segurança cibernética para que todos os funcionários possam reconhecer um ataque de phishing e se mantenham atentos contra golpes cibernéticos.
A Evolutia oferece soluções de segurança para que você esteja preparado para enfrentar novos e complexos desafios, fornecendo uma arquitetura altamente resiliente e o apoio técnico necessário para garantir que suas informações sejam protegidas. Entre em contato e saiba mais.
