Os atores de phishing estão utilizando uma nova tática de evasão conhecida como 'Precision-Validated Phishing', que exibe formulários falsos de login apenas quando o usuário insere um endereço de e-mail especificamente visado pelos atores da ameaça.
Ao contrário do phishing tradicional de alvo em massa, este novo método utiliza validação de e-mail em tempo real para garantir que o conteúdo de phishing seja mostrado apenas a alvos de alto valor pré-verificados.
Embora não seja excessivamente avançado ou particularmente sofisticado, a nova tática exclui todos os alvos não válidos do processo de phishing, bloqueando assim a sua visibilidade sobre a operação.
A empresa de segurança em e-mails Cofense, que documentou o aumento na adoção desta nova tática, observou que isso criou um problema prático significativo para eles.
Ao pesquisar sites de phishing, é comum que os pesquisadores insiram endereços de e-mail falsos ou sob seu controle para mapear a campanha de furto de credenciais.
No entanto, com esta nova técnica, endereços de e-mail inválidos ou de teste inseridos pelos pesquisadores agora exibem um erro ou os redirecionam para sites benignos.
Isso impacta os crawlers de segurança automatizados e sandboxes usados na pesquisa, reduzindo as taxas de detecção e prolongando a vida útil das operações de phishing.
"Equipes de cibersegurança tradicionalmente contam com análise controlada de phishing, submetendo credenciais falsas para observar o comportamento do atacante e infraestrutura," explica a Cofense.
Com o precision-validated phishing, essas táticas se tornam ineficazes, já que qualquer e-mail não reconhecido é rejeitado antes que o conteúdo de phishing seja entregue.
Segundo a Cofense, os atores de ameaças usam duas técnicas principais para realizar a validação de e-mail em tempo real.
A primeira envolve o abuso de serviços de verificação de e-mail de terceiros integrados ao kit de phishing, que verifica a validade do endereço de e-mail da vítima em tempo real por meio de chamadas de API.
O segundo método é implantar JavaScript personalizado na página de phishing, que envia o endereço de e-mail digitado pela vítima para o servidor do atacante para confirmar se está na lista pré-coletada.
Se não houver correspondência, a vítima é redirecionada para um site inofensivo, como o Wikipedia.
A Cofense explica que burlar isso simplesmente inserindo o endereço de e-mail da pessoa que relatou a tentativa de phishing a eles é frequentemente impossível devido às restrições de uso impostas por seus clientes.
Mesmo que fosse permitido usar o endereço real do alvo, os analistas comentam que algumas campanhas vão mais longe, enviando um código de validação ou link para a caixa de entrada da vítima após ela entrar com um e-mail válido na página de phishing.
Para prosseguir com o processo de phishing, as vítimas precisam inserir o código que receberam em sua caixa de entrada, o que está além do acesso dos analistas de segurança.
As repercussões disso são graves para as ferramentas de segurança de e-mail, especialmente aquelas que dependem de métodos tradicionais de detecção, pois têm mais probabilidade de falhar em alertar os alvos sobre tentativas de phishing.
À medida que as campanhas de phishing adotam a validação de entrada dinâmica, os defensores devem adotar novas estratégias de detecção que enfatizem a identificação comportamental e a correlação de inteligência de ameaças em tempo real para se manterem à frente dos atores da ameaça.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...