Uma campanha de phishing destinada a usuários da Apple está tentando enganar as vítimas para que atualizem seus perfis sob o pretexto de que se trata de uma preparação proativa de segurança para a introdução da GDPR (General Data Protection Regulation, ou RGPD em português), que entrará em vigor em 25 de maio de 2018. O objetivo deste phishing é convencer as vítimas a divulgarem as credenciais da conta da Apple, a fim de recolher dados pessoais – incluindo informações do cartão de crédito e da conta da Apple.
Este scam é um dos muitos que aproveitam a introdução iminente das políticas da GDPR da UE.
“Em 30 de abril, detectamos um novo esquema de phishing da Apple ID usando uma tática de engenharia social conhecida – ameaçando suspender um serviço para pressionar os usuários a divulgarem detalhes pessoais”, escreveram pesquisadores da Trend Micro em um post sobre a fraude na semana passada. “Detalhes de login em vários sites, como um Apple ID e senha correspondente, são valiosos porque podem permitir que um atacante tenha acesso a todos os aplicativos vinculados a essa conta.”
O e-mail de phishing tem a pretensão de ser um e-mail legítimo da Apple. O e-mail notifica as vítimas de que sua conta da Apple foi “limitada” devido a atividades incomuns e pede que atualizem seus detalhes de pagamento por meio de um link.
O link abre um site falso da Apple que se parece com o site legítimo na maioria dos aspectos – mesmo contendo a mesma imagem de fundo do site real da Apple -, mas com uma URL diferente.
Pesquisadores disseram que o site malicioso estava offline no momento de seu relatório.
A partir daí, os usuários foram solicitados a inserir suas IDs e senhas da Apple. Quando os usuários inserem suas informações, o site oferece uma mensagem padrão informando que sua conta foi bloqueada e oferecendo um botão para desbloqueá-la.
O botão “Unlock Account Now” está vinculado a um site mal-intencionado que coleta dados do usuário. Este site pede uma série de informações pessoais como nome, data de nascimento, endereço e detalhes do cartão de crédito.
Além de parecer legítimo, este site parecia ser mais sofisticado do que a maioria dos sites de phishing, em parte devido às permissões do diretório da Web sendo definidas corretamente, observaram os pesquisadores: “Os atores maliciosos geralmente usam sites de hospedagem gratuita para seus golpes de phishing, pois esperam que eles tenham vida curta e eles não se esforçam para proteger os arquivos do servidor web”, disseram no post. “Por isso, normalmente é fácil obter informações de ataques de phishing e sites relacionados; às vezes até os dados roubados são acessíveis. Nesse caso, as permissões do diretório da web foram definidas corretamente, por isso não pudemos acessar essas informações.”
Depois que todos os campos de informações pessoais e de conta foram preenchidos, o site informou às vítimas que elas seriam desconectadas por motivos de segurança e encaminhavam o usuário ao site legítimo da Apple.
Campanha de Phishing GDPR: Pontos fortes – e erros
Como muitos e-mails de phishing, os e-mails iniciais enviados aos usuários tinham grandes sinais de alerta – inclusive, mais notavelmente, o fato de os e-mails terem sido enviados para algumas vítimas que não estavam usando produtos da Apple.
“Ele foi enviado para uma pessoa que não estava usando produtos da Apple e, se houvesse atividade suspeita, por que um cliente precisaria atualizar os detalhes de pagamento? Ao verificar, também vimos que o botão estava vinculado a um site que não está relacionado ao nome de domínio da Apple”, disseram os pesquisadores.
No entanto, além disso, a campanha mostrou medidas sofisticadas preocupantes – incluindo os truques listados acima em torno do site cópia da Apple. E, além disso, os agentes maliciosos usaram outros métodos refinados – incluindo a criptografia do site falsificado usando Advanced Encryption Standard (AES) – permitindo que ele contornasse algumas ferramentas anti-phishing incorporadas em soluções antivírus.
“Usar AES para esse tipo de ofuscação é incomum para uma tentativa de phishing porque geralmente esses agentes maliciosos estão mais preocupados com as operações do que com segurança ou evasão”, disseram os pesquisadores.
.
.
Publicado originalmente no ThreatPost em 14 de maio de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Lindsey O’Donnell
Tradução por Tiago Souza
.