A Check Point lançou um alerta para uma nova forma de roubo de credenciais de acesso que utiliza landing pages, completamente iguais às originais, para conseguir obter dados pessoais, enganando os utilizadores, que acreditam estar no website da plataforma que pretendem, mas, com este novo método, engana também os sistemas de segurança.
Os investigadores da Avanan afirmam que os hackers estão a recorrer a e-mails para enviar endereços de páginas falsas, utilizando, por exemplo, e-mails de recuperação de password para enganar os utilizadores, fazendo-os pensar que estão, efetivamente, no sítio certo e a preencher bastantes campos com informação pessoal.
Por fim, são apresentados com a plataforma da empresa, numa página igual à real, com a exceção do endereço URL, que não tem relação com a empresa pelo qual se está a fazer passar. Aqui, o utilizador coloca as suas credenciais, entregando os seus dados facilmente aos hackers.
Tem estado a ser um grupo denominado SPAM-EGY a conduzir estes ataques.
Num segundo ponto, os especialistas afirmam que este tipo de ataque permite o redirecionamento para uma página de phishing que parece ser a segunda página do início de sessão do Microsoft Office 365 com um endereço de e-mail pré-preenchido e oferece uma página de destino dinamicamente renderizada que altera o logótipo e o fundo para corresponder ao domínio do endereço de correio eletrónico.
A página de destino solicitará o e-mail duas vezes como validação ou, opcionalmente, vai tentar utilizar as credenciais em tempo real com o objetivo de verificar a palavra-passe. Se esta for boa, o utilizador será direcionado para um documento real ou para a página inicial do Office.com.
Quando o utilizador tiver introduzido todos os seus dados, um cookie no browser tornará a página de phishing “inalcançável”, frustrando qualquer análise posterior ou tentativa de repor o mal feito instantes antes.