Microsoft toma medidas legais contra crimes cibernéticos relacionados ao COVID-19

documents detailing Microsoft’s work to disrupt cybercriminals

Tom Burt – Vice Presidente Corporativo, Segurança e Confiança do Cliente

O Tribunal do Distrito Leste da Virgínia dos Estados Unidos apresentou documentos detalhando o trabalho da Microsoft para barrar cibercriminosos que estavam aproveitando a pandemia do COVID-19, na tentativa de fraudar clientes em 62 países ao redor do mundo. Nosso processo civil resultou em uma ordem judicial que permitiu à Microsoft assumir o controle de domínios-chave na infraestrutura dos criminosos, para que não possam mais ser usados para executar ataques cibernéticos.

A Unidade de Crimes Digitais (DCU) da Microsoft observou esses criminosos pela primeira vez em dezembro de 2019, quando implantaram um novo e sofisticado esquema de phishing, projetado para comprometer as contas de clientes da Microsoft. Os criminosos tentaram obter acesso ao e-mail do cliente, listas de contatos, documentos confidenciais e outras informações valiosas. Com base nos padrões descobertos na época, a Microsoft utilizava meios técnicos para bloquear a atividade dos criminosos e desativar o aplicativo malicioso usado no ataque. Recentemente, a Microsoft observou novas tentativas dos mesmos criminosos, desta vez usando iscas relacionadas ao COVID-19 nos e-mails de phishing para atingir vítimas.

Essa atividade maliciosa é mais uma forma de ataque de comprometimento de e-mail empresarial (BEC), que aumentou em complexidade, sofisticação e frequência nos últimos anos. De acordo com o Relatório sobre crimes na Internet de 2019 do FBI, as reclamações mais caras recebidas pelo Centro de Reclamações sobre Crimes na Internet (IC3) envolveram crimes de BEC, com perdas de mais de US $1.7 bilhão, representando quase metade de todas as perdas financeiras devido a crimes cibernéticos. Embora a maior parte da atenção do público nos últimos anos tenha justificadamente focado nos atos malignos dos atores estatais, o crescente dano econômico causado pelos criminosos cibernéticos também deve ser considerado e enfrentado pelos setores público e privado. Da nossa parte, a Microsoft e nossa Unidade de Crimes Digitais continuarão a investigar e a barrar os criminosos cibernéticos e procurarão trabalhar com as agências policiais em todo o mundo, sempre que possível, para impedir esses crimes.

Esses cibercriminosos projetaram os e-mails de phishing para parecerem de origem de um empregador ou outra fonte confiável e frequentemente direcionados a líderes de negócios em uma variedade de setores, tentando comprometer contas, roubar informações e redirecionar transferências eletrônicas. Quando o grupo começou a executar esse esquema, os e-mails de phishing continham mensagens enganosas associadas a atividades comerciais genéricas. Por exemplo, o link malicioso no e-mail foi intitulado com termos comerciais como “Relatório do quarto trimestre – 19 de dezembro”, conforme mostrado abaixo.

When the group first began carrying out this scheme, the phishing emails contained deceptive messages associated with generic business activities. For example, the malicious link in the email was titled with business terms such as “Q4 Report – Dec19"
E-mail de phishing com temas empresariais

Com esses esforços recentes, no entanto, os e-mails de phishing continham mensagens sobre o COVID-19 como um meio de explorar preocupações financeiras relacionadas a pandemia e induzir as vítimas a clicar em links maliciosos. Por exemplo, usando termos como “Bônus COVID-19”, como visto aqui.

Com esses esforços recentes, no entanto, os e-mails de phishing continham mensagens sobre o COVID-19 como um meio de explorar preocupações financeiras relacionadas a pandemia e induzir as vítimas a clicar em links maliciosos. Por exemplo, usando termos como "Bônus COVID-19"
E-mail de phishing com o tema COVID-19

Depois que as vítimas clicaram nos links enganosos, elas foram solicitadas a conceder permissões de acesso a um aplicativo Web malicioso. Os aplicativos da Web têm aparência familiar, pois são amplamente utilizados nas organizações para aumentar a produtividade, criar eficiências e aumentar a segurança em uma rede distribuída. Sem o conhecimento da vítima, esses aplicativos maliciosos da Web eram controlados pelos criminosos, que, com permissão obtida de forma fraudulenta, podiam acessar a conta do Microsoft Office 365 da vítima. Esse esquema permitiu o acesso não autorizado, sem exigir que as vítimas digitassem diretamente suas credenciais de login em um site falso ou em uma interface semelhante, como faria em uma campanha de phishing mais tradicional.

Depois de clicar no prompt de consentimento do aplicativo malicioso da Web (foto abaixo), a vítima inadvertidamente concedeu aos criminosos permissão para acessar e controlar o conteúdo da conta do Office 365 das vítimas, incluindo e-mail, contatos, notas e material armazenado no espaço de armazenamento na nuvem OneDrive for Business das vítimas e sistema corporativo de gerenciamento e armazenamento de documentos do SharePoint.

Depois de clicar no prompt de consentimento do aplicativo malicioso da Web (foto abaixo), a vítima inadvertidamente concedeu aos criminosos permissão para acessar e controlar o conteúdo da conta do Office 365 das vítimas, incluindo e-mail, contatos, notas e material armazenado no espaço de armazenamento na nuvem OneDrive for Business das vítimas e sistema corporativo de gerenciamento e armazenamento de documentos do SharePoint
Tela de consentimento do aplicativo web malicioso

A Microsoft toma várias medidas para monitorar e bloquear aplicativos da Web maliciosos com base na telemetria, indicando comportamento atípico e continua a aprimorar nossas proteções com base nessa atividade. Nos casos em que os criminosos escalam súbita e massivamente suas atividades e agem rapidamente para adaptar suas técnicas para evitar os mecanismos defensivos internos da Microsoft, são necessárias medidas adicionais, como a ação legal apresentada neste caso. Esse processo civil exclusivo contra ataques BEC com o tema COVID-19 nos permitiu desativar proativamente os principais domínios que fazem parte da infraestrutura maliciosa dos criminosos, o que é uma etapa crítica na proteção de nossos clientes.

Como observamos, os cibercriminosos estão adaptando suas iscas para aproveitar os eventos atuais, usando temas relacionados ao COVID-19 para enganar as vítimas. Embora as iscas possam ter mudado, as ameaças subjacentes permanecem, evoluem e crescem, e é mais importante do que nunca permanecer vigilante contra ataques cibernéticos.

Para se proteger ainda mais contra campanhas de phishing, incluindo o BEC, recomendamos primeiro que você ative a autenticação de dois fatores em todas as contas de e-mail comerciais e pessoais. Segundo, aprenda a identificar esquemas de phishing e a se proteger deles. Terceiro, use o SmartScreen e considere bloquear o encaminhamento automático de e-mail para dificultar o roubo de informações por criminosos cibernéticos. As empresas podem aprender como reconhecer e corrigir esses tipos de ataques e a tomar essas medidas para aumentar a segurança de suas organizações

Tags: , , , , , ,

Posts Relacionados