MADRID 19 jun. (Portaltic/EP) -
O EvilTokens é um novo kit de “phishing” com o qual os invasores podem obter acesso a contas corporativas, mesmo quando estas contam com autenticação multifatorial (MFA), ao operar de forma dissimulada por meio de serviços legítimos da Microsoft.
A empresa de segurança cibernética ESET alertou sobre o EvilTokens, um kit de “phishing” como serviço (PhaaS), que tem como objetivo comprometer contas do Microsoft 365 por meio de um esquema de fraude que se aproveita de um mecanismo legítimo de autenticação.
Essa abordagem de “crime cibernético como serviço” já está sendo utilizada em campanhas avançadas nas quais se empregam outros tipos de abordagens em ataques executados por Inteligência Artificial (IA), como ocorreu quando um único cibercriminoso invadiu nove órgãos governamentais.
O diretor de pesquisa e conscientização da ESET Espanha, Josep Albors, afirma que “há anos ensinamos os usuários a desconfiar de links suspeitos ou páginas falsas de login, mas ataques como o EvilTokens demonstram que os criminosos estão adaptando suas táticas”.
O kit EvilTokens baseia sua estratégia em um estilo de ataque que utiliza códigos de dispositivo, permitindo que os invasores obtenham acesso a contas corporativas.
Essas contas nem mesmo estão a salvo desse tipo de ataque quando utilizam a autenticação multifatorial, um sistema que tem servido como uma barreira intransponível para muitos dos ataques cibernéticos que as organizações costumam sofrer.
“Nesse caso, a vítima interage com uma página legítima da Microsoft e conclui um processo de autenticação real, o que torna a fraude muito mais difícil de detectar”, indica Albors para demonstrar a periculosidade desse tipo de técnica, que se apresenta como um acesso legítimo quando, na verdade, está autorizando o acesso a um cibercriminoso.
Essa nova estratégia, segundo explica a ESET, começa quando os atacantes geram um código de dispositivo válido e o incorporam a todos esses componentes e ações cotidianas de qualquer funcionário, como um e-mail, uma fatura e até mesmo solicitações de acesso a plataformas corporativas.
O gancho para quebrar as resistências que um funcionário poderia ter diante de um ataque de “phishing” ocorre quando ele é direcionado a uma página legítima da Microsoft, na qual acaba inserindo esse código e, por fim, conclui o processo de autenticação.
Aqui, a Albors alerta que “esse tipo de acesso pode ser utilizado posteriormente para o roubo de informações, a exfiltração de dados ou a realização de ataques de comprometimento de e-mail corporativo (BEC), especialmente contra departamentos de finanças, recursos humanos, logística ou vendas”.
O fato de o EvilTokens ser capaz de enganar a possível vítima dessa forma se deve ao uso do fluxo de autorização de dispositivos OAuth 2.0, que se caracteriza pela conveniência que oferece para fazer login em dispositivos como Smart TVs ou impressoras conectadas.
Com esse tipo de ataque de “phishing”, as organizações enfrentam dois problemas graves. O primeiro é que muitos dos indicadores que permitem identificar que a vítima está diante de um ataque dessa natureza são eliminados.
O segundo diz respeito às recomendações, já que elas colocam o usuário em estado de alerta, obrigando-o a tomar medidas mais drásticas e proativas para não cair nessas novas artimanhas mais complexas.
Essas recomendações, segundo a ESET, vão desde desconfiar de qualquer solicitação inesperada para inserir um código de autenticação até verificar qual aplicativo está solicitando permissões antes de aprovar o acesso, bem como não presumir que uma solicitação seja segura apenas porque ocorre em uma página legítima.
Outras recomendações incluem informar o departamento de TI sobre qualquer solicitação de código, ficar atento a notificações de inicialização incomuns e, caso seja responsável pela segurança de uma empresa, limitar o uso de fluxos de códigos de dispositivos quando não forem estritamente necessários.
Esta notícia foi traduzida por um tradutor automático