A Microsoft tomou o "controlo" de 50 domínios associados a hackers cujas atividades vão muito além da Coreia do Norte, afetando sobretudo cidadãos norte-americanos, japoneses e sul coreanos. A garantia foi dada pela própria empresa esta segunda-feira, depois de um tribunal norte-americano, no Estado de Virgínia, ter dado razão à gigante tecnológica numa ação contra um grupo de hackers que conseguiam roubar informações através de uma técnica conhecida como "spear phishing".

Na publicação, Tom Burt, vice-presidente do departamento de segurança do consumidor da empresa, explica que a rede foi utilizada para atacar vítimas e comprometer as suas contas online, infetar os seus computadores, comprometer a segurança das suas redes e roubar informações credenciais. Entre as vítimas estão funcionários do governo e de universidades e membros de organizações com, por exemplo, valores focados na paz mundial e nos direitos humanos.

Google bloqueia 100 milhões de emails de phishing todos os dias. E tem conselhos para os utilizadores
Google bloqueia 100 milhões de emails de phishing todos os dias. E tem conselhos para os utilizadores
Ver artigo

De acordo com o GizModo, a lista dos 50 inclui domínios como “hotrnall.com,” “office356-us.org,” e“mai1.info". Mas de que forma é que este grupo atuava? De acordo com o especialista, o Thallium tentava enganar as vítimas através de uma técnica conhecida como "spear phishing". "Ao reunir informações sobre os alvos nas redes sociais, informações públicas das organizações com as quais os cidadãos estavam envolvidos e outras fontes públicas, o grupo criava um e-mail de spear-phishing personalizado, dando credibilidade ao email", explica Tom Burt.

Para exemplificar, o responsável da Microsoft mostra um email de spear-phishing, um conteúdo projetado para parecer legítimo. No entanto, uma análise mais detalhada mostra que o Thallium falsificou o remetente combinando as letras "r" e "n" para aparecer como a primeira letra "m" em "Microsoft.com".

Email enviado através de
Email enviado através de

O link no email redireciona o utilizador para um site que solicita as credenciais da sua conta. Ao induzir as vítimas a clicar nos links fraudulentos e a fornecer as suas credenciais, o Thallium pode fazer log-in nas suas contas. E depois não há volta a dar.

Após o ataque bem-sucedido de uma conta, o Thallium pode, por exemplo, rever emails, listas de contactos e compromissos do calendário. Mas isto pode também significar a criação de uma nova regra de encaminhamento de emails nas configurações da conta da vítima, que encaminhará todos os seus novos emails recebidos para contas controladas pelo Thallium. Ao usar as regras de encaminhamento, o Thallium pode continuar a ter acesso aos emails recebidos pela vítima, mesmo depois de atualizada a senha da conta da vítima.

Microsoft revela que 44 milhões de utilizadores reutilizaram passwords que já tinham sido expostas online
Microsoft revela que 44 milhões de utilizadores reutilizaram passwords que já tinham sido expostas online
Ver artigo

Além de direcionar as credenciais do usuário, o Thallium também utiliza malware para comprometer os sistemas e roubar dados. Depois de instalado no computador da vítima, esse malware extrai informações, mantém uma presença persistente e aguarda mais instruções. Os hackers utilizaram malware conhecido por "BabyShark" e "KimJongRAT", explica Tom Burt.

O que podemos fazer para nos protegermos destes ataques?

Dando a conhecer três conselhos que ajudam os utilizadores a estarem mais protegidos, Tom Burt destaca a importância da autenticação através de duas etapas em todas as contas de email comerciais e pessoais. Por outro lado, é também muito importante que o utilizador identifique ele próprio esquemas de phishing e aprenda a proteger-se deles.

Por fim, o especialista aconselha os utilizadores a ativarem alertas de segurança sobre links e arquivos suspeitos e a verificarem cuidadosamente as regras de encaminhamento de email quanto a atividades suspeitas.