Google e Yahoo têm sido alvo de novos ataques de phishing que são capazes de ignorar a autenticação de dois fatores (2FA). serviços de e-mail seguro também são vítimas de tais ataques como eles podem ser comprometidos com sucesso, pesquisadores disseram em um relatório publicado pela Amnistia Internacional. Parece que os invasores estão explorando vários métodos para se infiltrar em contas pertencentes a usuários do Oriente Médio e do Norte da África.
Campanhas de phishing complicadas ignoram 2FA
Os pesquisadores acreditam que todas as campanhas são realizadas pelo mesmo grupo que visa Defensores dos Direitos Humanos (HRDs). Uma das campanhas tem como alvo centenas de contas do Google e do Yahoo, e levou ao desvio bem-sucedido de formas comuns de 2FA. Esta campanha está ativa em 2017 e 2018, como evidenciado por cópias de e-mails de phishing enviados a HRDs e jornalistas nas regiões mencionadas acima.
A Anistia Internacional obteve essas cópias e as investigou, e descobri que a maioria dos usuários-alvo eram dos Emirados Árabes Unidos, Iémen, Palestina e Egito. O e-mail de phishing distribuídos nesta campanha usou um especialmente criado “alerta de segurança” que enganou alvos para visitar domínios maliciosos que foram feitos para olhar como Google e Yahoo. O que se destaca nesta operação phishing é o método utilizado para desvio 2FA, e o registro de domínios que contundentemente lembram o original, serviços legítimos.
Esses sites falsos também usam criptografia de transporte. Isso ativa o cadeado bem conhecido no lado esquerdo da barra de endereço do navegador, que os usuários, ao longo dos anos, foram frequentemente ensinados a procurar ao tentar discernir entre sites legítimos e maliciosos, disse a Amnistia Internacional.
A Amnistia Internacional também identificou vários sites de phishing bem concebidos para os populares serviços de email Tutanota e ProtonMail. Esses provedores de serviço de e-mail são comercializados como soluções de "e-mail seguro" e, consequentemente, ganharam alguma tração entre os ativistas, então as campanhas de phishing contra eles são realmente perigosas.
Esses sites contêm vários elementos que os tornam especialmente difíceis de serem identificados como falsos pelos alvos. Por exemplo, os invasores conseguiram obter o domínio tutanota.org e o usaram para replicar quase completamente o site original do serviço Tutanota, que está localizado em tutanota.com, disseram os pesquisadores em seu relatório.