Os investigadores da Check Point Research descobriram, em colaboração com a Otorio, uma empresa israelita especializada em cibersegurança industrial, uma nova campanha de phishing em larga escala onde os atacantes acabaram por tornar acessíveis ao público milhares de passwords roubadas.

Os especialistas indicam que a campanha teve o seu início em agosto do ano passado, com emails “mascarados” por notificações de digitalizações da Xerox, levando as vítimas a abrir um ficheiro HTML malicioso, que conseguia contornar os filtros de segurança do Microsoft Office 365 Advanced Threat Protection (ATP).

Investigação | Check Point Research
Investigação | Check Point Research Exemplo de email de phishing enviado pelos atacantes. créditos: Check Point Research

Ao clicarem no anexo, as vítimas eram levadas a uma página de login semelhante à da Xerox e as credenciais introduzidas eram roubadas pelos atacantes. Ao todo, os investigadores estimam que os cibercriminosos tenham roubando milhares de credenciais corporativas de colaboradores de empresas.

Os atacantes guardaram as passwords e endereços de email em páginas web num ficheiro de texto nos servidores comprometidos. Mas, uma vez que a Google que monitoriza a internet constantemente, o ficheiro foi indexado ao seu motor de pesquisa.

Assim, as credenciais ficaram disponíveis publicamente para quem quisesse pesquisar por endereços de email roubados no Google. Os investigadores explicam que com uma simples pesquisa no motor de busca, qualquer pessoa poderia ter encontrado a password de um dos endereços de email comprometidos.

“Tendemos a acreditar que quando alguém rouba as nossas passwords, o pior cenário é que essa informação seja usada pelos hackers que seja trocada entre si na dark net. Não foi o que aconteceu neste caso. Aqui, qualquer pessoa tem acesso à informação roubada”, indica Lotem Finkelsteen, Head of Threat Intelligence da Check Point Software, sublinhando que “esta foi claramente uma operação de segurança falhada por parte dos atacantes”.

Para evitar cair numa “armadilha” semelhante, e ter as suas credenciais expostas publicamente na Internet, a Check Point recomenda que tome algumas medidas importantes sempre que recebe emails suspeitos.

Deve então desconfiar de remetentes desconhecidos, especialmente se o se incitam a fazer qualquer ação que normalmente não faria; verificar sempre os endereços e domínios, notando se existem discrepâncias ou erros; aceder a serviços online que sejam autênticos e de confiança; e não fazer “reciclagem” de passwords entre as suas contas e aplicações.