O Portal Admin do Microsoft 365 está sendo utilizado indevidamente para enviar e-mails de sextorsão, fazendo com que as mensagens pareçam confiáveis e burlando plataformas de segurança de e-mail.
E-mails de sextorsão são golpes que alegam que seu computador ou dispositivo móvel foi hackeado para roubar imagens ou vídeos seus realizando atos sexuais.
Os golpistas então exigem de você um pagamento de $500 a $5.000 para evitar que eles compartilhem as fotos comprometedoras com sua família e amigos.
Enquanto você poderia pensar que ninguém cairia nesses golpes, eles foram muito lucrativos quando apareceram pela primeira vez em 2018, gerando mais de $50,000 por semana.
Desde então, os golpistas criaram inúmeras variantes de golpes de e-mail de extorsão, incluindo aqueles que fingem ter pego seu cônjuge traindo ou incluir imagens da sua casa para assustá-lo a pagar o extorsionário em Bitcoin.
No entanto, as plataformas de segurança de e-mail tornaram-se boas em detectar esses e-mails de golpe e normalmente os colocam em quarentena na pasta de spam.
Na última semana, pessoas no LinkedIn, X e no fórum Microsoft Answers reportaram o recebimento de e-mails de sextorsão por meio do Microsoft 365 Message Center, permitindo que os golpes burlassem os filtros de spam e chegassem à caixa de entrada.
"Recebi um e-mail de golpe de extorsão ontem. Essas coisas normalmente acabam em lixo/spam, no entanto, este passou pelos filtros, pois foi enviado pelo Microsoft 365 Message Center.
"Alguma ideia de como eles conseguiram fazer isso?" perguntou o profissional de cibersegurança Edwin Kwan.
Os e-mails de sextorsão vieram de "[email protected]", que pode parecer um endereço de phishing, mas é na verdade um endereço de e-mail legítimo da Microsoft usado para enviar mensagens e notificações do Microsoft 365 Message Center.
Para aqueles não familiarizados com o Portal Admin do Microsoft 365, ele inclui uma seção chamada "Message Center", que contém comunicações da Microsoft sobre avisos de serviço, novas funcionalidades e mudanças futuras.
Ao visualizar um aviso, um link de "Compartilhar" permite que você compartilhe o aviso com outras pessoas, como mostrado abaixo.
Clicar no botão Compartilhar abre uma caixa de diálogo pedindo para inserir até dois endereços de e-mail para os quais o aviso deve ser enviado, independentemente de serem externos ou internos à sua organização.
Esta tela também inclui uma "Mensagem Pessoal" opcional, que será adicionada ao aviso enviado por e-mail.
Os agentes de ameaças estão abusando do recurso de Mensagem Pessoal, usando-o para enviar a mensagem de sextorsão.
No entanto, esse campo de mensagem pessoal é limitado a apenas 1.000 caracteres, sendo qualquer adicional truncado pela interface do usuário.
Como a mensagem de extorsão enviada pelos golpistas é muito mais do que 1.000 caracteres, me fez questionar como eles estavam contornando essa restrição.
A resposta é simples.
Eles simplesmente abrem as ferramentas de desenvolvedor do navegador e alteram o campo de comprimento máximo da tag <textarea> para um número arbitrário de sua escolha.
Essa alteração agora permite que eles insiram a mensagem de sextorsão inteira no campo de "Mensagem Pessoal" sem ser truncada.
Como a Microsoft não realiza verificações no lado do servidor para o comprimento dos caracteres, a mensagem de extorsão inteira é agora enviada junto com o aviso.
Os golpistas provavelmente estão usando um processo automatizado para enviar essas solicitações de "Compartilhar", tornando ainda mais fácil o envio sem uma verificação do lado do servidor para o comprimento da mensagem pessoal.
Até o momento, a Microsoft não adicionou verificações no lado do servidor para impedir mensagens com mais de 1.000 caracteres, conforme mostraram os testes.
Embora esta técnica tenha permitido que os e-mails de sextorsão burlassem filtros de e-mail, quem os recebe deve entender que são apenas golpes e deletá-los.
Felizmente, os golpes de sextorsão se tornaram tão abundantes nos últimos seis anos que a maioria das pessoas percebe que são golpes e deleta este tipo de e-mails.
No entanto, para aqueles não familiarizados, esses e-mails podem ser angustiantes e assustadores.
Portanto, é importante ressaltar que esses e-mails são golpes, eles não estão dizendo a verdade, e você não deve visitar nenhum link nesses e-mails ou enviar dinheiro para os endereços de criptomoeda listados.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...