Uma nova pesquisa da Proofpoint traz à luz uma campanha de phishing assustadora que coloca em risco a segurança de contas do Microsoft 365. O EvilProxy, uma plataforma de phishing como serviço, se tornou a escolha de criminosos cibernéticos para atingir contas protegidas por autenticação multifator (MFA).
A Proofpoint identificou um alarmante total de 120 mil e-mails de phishing, direcionados a mais de uma centena de organizações. O alvo são as valiosas contas do Microsoft 365. Essa tendência é especialmente preocupante, com o relatório destacando um aumento dramático nos incidentes de comprometimento de contas na nuvem nos últimos cinco meses. Surpreendentemente, esses ataques têm afetado principalmente executivos de alto escalão.
O EvilProxy opera usando proxies reversos para intermediar solicitações de autenticação e credenciais de usuário entre o alvo e o site legítimo de serviço. Isso permite ao servidor de phishing roubar cookies de autenticação assim que o usuário faz login em sua conta. Mesmo após o usuário passar pelos desafios de autenticação multifator (MFA) ao fazer login, o cookie roubado dá aos criminosos cibernéticos a capacidade de ignorar a autenticação de múltiplos fatores.
A campanha do EvilProxy é notavelmente engenhosa, envolvendo redirecionamentos abertos via sites populares como YouTube e SlickDeals. Esse método visa diminuir as chances de detecção e análise. Eventualmente, a vítima é direcionada para uma página de phishing personalizada do EvilProxy, projetada para se assemelhar à página de login do Microsoft 365 da organização da vítima, enganando até mesmo usuários experientes.
Um aspecto intrigante é o uso de redirecionamentos com base no endereço IP do alvo. Usuários com endereços IP turcos são redirecionados para um site legítimo, indicando possivelmente a origem da operação na Turquia. Além disso, os criminosos cibernéticos são criteriosos em suas escolhas de alvos, priorizando executivos VIP e ignorando indivíduos em posições mais baixas na hierarquia.
Entre os alvos cujas contas foram violadas, 39% eram executivos de alto escalão, 9% eram CEOs e vice-presidentes, 17% eram diretores financeiros e o restante possuía acesso a ativos financeiros ou informações sensíveis. Uma vez que uma conta do Microsoft 365 é comprometida, os atacantes adicionam seu próprio método de autenticação multifator para manter o acesso contínuo.
Como se defender contra essa ameaça crescente? A conscientização em segurança é fundamental, juntamente com regras rigorosas de filtragem de e-mail. Além disso, a adoção de chaves físicas baseadas em FIDO (Fast Identity Online) pode oferecer uma camada adicional de proteção, reduzindo a dependência de senhas tradicionais.
O EvilProxy pode ser uma ameaça crescente, mas com o conhecimento certo e as estratégias de segurança adequadas, as organizações podem manter-se à frente das ameaças cibernéticas e manter seus dados valiosos fora do alcance de criminosos.
A International IT está comprometida em oferecer serviços e soluções líderes em cibersegurança e TI, ajudando organizações a se protegerem contra os desafios cada vez maiores do mundo digital em constante evolução.
Mantenha-se atualizado com as últimas notícias e informações sobre segurança cibernética, e lembre-se de sempre aplicar as atualizações e patches mais recentes em seus sistemas para garantir uma defesa robusta contra ameaças emergentes. A segurança cibernética é uma responsabilidade compartilhada, e juntos podemos construir um ambiente digital mais seguro e resiliente. Preencha o formulário abaixo e descubra como a International IT e a Fortinet podem te ajudar.
Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!