O serviço Microsoft 365 é utilizada por mais de dois milhões de organizações em todo o mundo, sendo que, pelo menos, 500 mil entidades recorrem ao Dynamics 365 Customer Voice – entre elas, 97% das empresas da Fortune 500.
Nesta campanha, os cibercriminosos enviam ficheiros empresariais e faturas a partir de contas comprometidas, incluindo links falsos da plataforma Customer Voice. A configuração dos e-mails é particularmente convincente, fazendo com que os destinatários sejam facilmente levados a clicar nas ligações fraudulentas.
Os investigadores da Check Point identificaram mais de 3.370 mensagens de correio eletrónico associadas a esta campanha, direcionadas a colaboradores de mais de 350 organizações, na sua maioria sediadas nos Estados Unidos. No total, mais de um milhão de caixas de correio foram visadas.
Entre as entidades afetadas encontram-se associações comunitárias, universidades e instituições de ensino superior, meios de comunicação social, uma importante organização de informação em saúde, e várias instituições dedicadas à promoção das artes e cultura.
Modus operandi da campanha
Os e-mails de phishing exploram temas financeiros, com linhas de assunto relacionadas com extratos de liquidação, pagamentos EFT, declarações de fecho de contrato ou documentação ALTA.
Tal como referido, os e-mails contêm links fraudulentos que alegam dirigir o utilizador para uma nova mensagem de voz ou para um documento PDF. Todas as mensagens são cuidadosamente construídas para parecerem legítimas. Em alguns casos, os atacantes inserem um link real da Microsoft na mensagem, junto de um link adicional fraudulento.
Figure 1 - Exemplos de um email de phishing
Ao clicarem nas hiperligações ilegítimas, os utilizadores são encaminhados para uma página de teste CAPTCHA, desenhada para dar uma falsa sensação de segurança, levando os destinatários a acreditar que estão perante uma solicitação autêntica.
Concluído este passo, a vítima é redirecionada para um site falso que imita uma página de login da Microsoft – é aqui que os atacantes tentam obter as credenciais de acesso do utilizador.
Impacto potencial
O principal objetivo desta campanha de phishing é a recolha de credenciais. Se bem-sucedidos, os cibercriminosos podem aceder indevidamente a informação sensível e sistemas internos.
As consequências para as organizações afetadas podem incluir manipulação de contas internas, roubo de fundos e interrupções operacionais.
Medidas de mitigação
A Microsoft já bloqueou algumas das páginas utilizadas nesta campanha. No entanto, parte das mensagens pode ter chegado às caixas de entrada antes da sua remoção.
Figure 2 - Exemplo de uma página de phishing bloqueada pela Microsoft
É fundamental que os responsáveis de cibersegurança alertem os seus colaboradores para a possibilidade de receberem e-mails suspeitos, reforçando a importância de verificar cuidadosamente a origem de cada mensagem, sobretudo quando estas parecem provir de serviços Microsoft, como o Dynamics 365 Customer Voice.
Acresce ainda a necessidade de as empresas adotarem soluções de segurança de e-mail avançadas, assentes em tecnologias baseadas em inteligência artificial, entregues na cloud, com proteção por camadas e mecanismos de deteção de ameaças integrados.
A Check Point bloqueou com sucesso e-mails desta campanha ao extrair os links fraudulentos e reforçou os seus produtos com camadas adicionais de proteção, capazes de prevenir e detetar ameaças futuras semelhantes.
