Recentemente, o Google revelou detalhes sobre uma campanha bem-sucedida de phishing direcionada a contas do Gmail utilizadas por oficiais do governo e ativistas políticos. Apesar da grande cobertura deste incidente pela mídia, outras plataformas populares de webmail também vêm sendo atacadas. Além do Gmail, o Hotmail e o Yahoo! Mail também foram vítimas. Os ataques parecem ter sido conduzidos separadamente, mas há algumas semelhanças entre eles.

Estratégia 1: Realizar Ataques Direcionados

O objetivo dos atacantes parece ser a obtenção de acesso às contas de webmail das vítimas para monitorar suas comunicações e, possivelmente, preparar futuros ataques. No recente caso divulgado pelo Google, os atacantes realizaram um ataque de phishing para obter acesso à conta do Gmail das vítimas e, em seguida, acrescentaram seus próprios endereços de e-mail à "configuração de encaminhamento e delegação". Dessa forma, eles puderam enviar e receber mensagens de e-mail por meio das contas afetadas.

Estes ataques foram revelados pela primeira vez por Mila Parkour, em fevereiro. Ela descobriu que, além de monitorar essas contas de e-mail, os atacantes também utilizavam um script que explorava o protocolo res:// para listar os softwares antivírus instalados nos computadores das vítimas. Essa informação poderia ser utilizada para organizar um futuro ataque a fim de controlar não só as contas do Gmail, mas também os computadores-alvo.

A Trend Micro descobriu recentemente um malware que também utiliza o protocolo res:// para listar os softwares instalados nos computadores afetados, preparando o terreno para futuros ataques mais precisos. Sabendo quais softwares estão instalados no computador-alvo, inclusive antivírus, os atacantes podem desenvolver um ataque preciso, explorando vulnerabilidades específicas. Tais ataques teriam uma grande probabilidade de êxito.

Estratégia 2: Explorar Vulnerabilidades no Webmail

Além desses recentes ataques de phishing, o Google já havia revelado que os atacantes exploravam uma vulnerabilidade no protocolo MHTML para atingir ativistas políticos que utilizavam os serviços do Google. Ao mesmo tempo, o Google revelou que a mesma técnica estava sendo utilizada contra usuários de "outro site social popular".

Apesar desse outro website não ter sido identificado, Greg Walton observou que o ataque ao MHTML estava sendo direcionado a usuários do Gmail e que a mensagem original do phishing estava sendo propagada pelo Facebook. Os alvos eram jornalistas e ativistas políticos. Assim como os recentes ataques de phishing, os atacantes alteravam as configurações de delegação para continuar monitorando as contas afetadas.

Os serviços do Google não foram os únicos alvos. Pesquisadores da Trend Micro em Taiwan revelaram um ataque de phishing que explorava uma vulnerabilidade no serviço Hotmail, da Microsoft. Sem a necessidade de clicar em um link malicioso, o simples ato de visualizar a mensagem de e-mail já poderia infectar a conta de um usuário. O e-mail do phishing fingia ser uma mensagem da equipe de segurança do Facebook.

Além do Gmail, usuários do Hotmail e do Yahoo! Mail também foram alvos de ataques. Recentemente alertamos o Yahoo! sobre uma tentativa de ataque ao Yahoo! Mail por meio do roubo dos cookies de um usuário para obter acesso às suas contas de e-mail. Apesar dessa tentativa aparentemente não funcionar, foi um sinal de que os atacantes também estão alvejando os usuários do Yahoo! Mail.

O mesmo endereço de e-mail que tentava atacar o Yahoo! Mail foi utilizado nos ataques direcionados que exploravam planilhas maliciosas do Microsoft Excel em março. Isso demonstra a variedade das formas de ataque disponíveis aos atacantes.

Tais eventos demonstram que, além de ataques direcionados que encorajam os usuários a abrir anexos maliciosos (geralmente arquivos .PDF ou .DOC), os atacantes estão tentando explorar vulnerabilidades em serviços populares de webmail, com o objetivo de controlar contas, monitorar comunicações e obter informações úteis para futuros ataques.

Pode ser difícil se proteger destes ataques já que eles frequentemente aparentam vir de fontes reconhecidas. Porém, existem algumas pistas que podem ajudar a identificar mensagens de phishing. Geralmente há erros de ortografia ou gramática nestas mensagens, indicando que elas não são das fontes esperadas. Para saber mais sobre os ataques direcionados de malware, leia o post "Quão Sofisticados São os Ataques Direcionados de Malware?".

Além disso, apesar dos links maliciosos se identificarem como "google", "hotmail" ou "yahoo", eles na verdade direcionam a outros websites e podem ser facilmente conferidos. O uso de um processo de verificação em duas etapas (oferecido pelo Google para o Gmail) também pode ajudar na proteção contra estes ataques. Por fim, ferramentas como o Trend Micro Browser Guard, que impedem que os navegadores executem scripts maliciosos, podem reduzir o risco destas ameaças.

E para terminar, você pode assistir a este divertido vídeo sobre phishing (em inglês):