Ir para o conteúdo principal

São Paulo, 17 de abril de 2015

Pesquisadores da Kaspersky Lab revelaram uma nova campanha de Phishing direcionada a usuários da América Latina, que usa como isca o oferecimento de uma assinatura para o serviço de streaming de vídeo chamado Netflix. O e-mail fornece como gancho a assinatura de teste de 3 meses e tudo que você tem a fazer é completar o registro, clicando em um link fornecido no e-mail. De acordo com analistas da Kaspersky Lab, o verdadeiro objetivo por trás dessa campanha é acessar informações da conta do Hotmail ou Outlook da vítima.

"Este tipo de ataque é muito peculiar, pois não envolve roubar nomes de usuário ou senhas, nem é um ataque criptográfico. A ameaça, neste caso, é conhecida como um grupo de ataque do tipo Open Redirect", explica Roberto Martínez, Analista de Segurança da Kaspersky Lab.

A ideia básica é que o hacker utiliza um aplicativo, configurado pelo usuário anteriormente para supostamente acessar a um programa ou serviço, implementa um API OAuth através de um token. Este mesmo token serve para acessar as informações da vítima, assim como os detalhes do seu perfil, suas informações de contato e e-mail, mesmo quando o usuário não está conectado à sua conta.

Os aplicativos que suportam o OAuth não precisam conhecer diretamente o login ou senha do usuário que deseja se conectar a um aplicativo ou acessar um serviço, pois seguem um processo que consiste basicamente em três etapas:

  1. A vítima clica no link fornecido no e-mail para obter 3 meses grátis de assinatura e, ao carregar a página do site, o usuário é redirecionado para o site do provedor de conta que deseja usar para autenticar, neste caso "Outlook" ou "Hotmail". O problema é que o usuário é direcionado para o site autêntico do prestador e, não, a um site falso, como muitas vezes acontece em ataques de phishing.
  2. Em seguida, o usuário digita suas credenciais, conforme indicado no e-mail e, em seguida, aparece uma tela com o resumo dos acessos que o suposto aplicativo pede para ter, para autorização do usuário.

  3. Depois de obter a aprovação do usuário, a informação é enviada com os privilégios concedidos, juntamente com o token da sessão do usuário até o endereço URL do site malicioso que permitirá que o aplicativo malicioso tenta acesso a informação da vítima a qualquer momento.


São concedidas as seguintes permissões de acesso:

  • wl.signin – Início de sessão único. Os usuários que já estão online em contas Outlook ou Hotmail também ficam online na suposta aplicação.
  • wl.basic – Acesso a leitura de informações básicas do perfil do usuário.
  • wl.emails – Acesso a endereços de e-mails pessoais e de negócios.
  • wl.contacts_emails – Acesso a leitura dos e-mails dos contatos.
Um dos aspectos chave que faz com o ataque seja bem sucedido é que muitos usuários já estão familiarizados com este processo de autenticação através da conta de terceiros e podem considerá-lo normal por já o terem usado antes. O impacto pode ser maior se o acesso aos serviços de armazenamento em nuvem estiver incluído nas permissões necessárias. Em caso positivo, diga adeus a sua privacidade, já que os criminosos terão acesso a suas fotos e documentos pessoais.

“Ainda que a campanha atualmente esteja focada em países de língua espanhola, principalmente México, é importante que os usuários brasileiros fiquem muito atentos, já que serviços populares como o Netflix estão sendo usado pelos cibercriminosos como ganchos para atrair um número maior de vítimas”, alerta Martínez. "Como em qualquer caso de phishing, é muito importante parar e pensar duas vezes antes de clicar em um link de um e-mail ou rede social com um conteúdo “bom demais para ser verdade”, a melhor defesa mesmo é o bom senso”.

Para evitar se tornar uma vítima, é importante seguir os conselhos abaixo:

  • Seja cuidadoso com sites ou aplicativos que são autenticados por contas de terceiros, utilizando o protocolo OAuth, a menos que esteja plenamente seguro de que se trata de uma fonte confiável.
  • Verifique periodicamente os acessos a aplicativos de terceiros para as suas contas e exclua aqueles que não são mais usados.
  • Instale ferramentas que protejam sua navegação pela internet.

A ferramenta anti-phishing inclusas nas diferentes versões dos produtos Kaspersky Lab detecta e protege os usuários de serem vítimas desta campanha.

Detalhes adicionais sobre esta campanha estão disponíveis no Blog da Kaspersky Lab.

Kaspersky Lab: campanha de phishing utiliza Netflix como isca

Pesquisadores da Kaspersky Lab revelaram uma nova campanha de Phishing direcionada a usuários da América Latina, que usa como isca o oferecimento de uma assinatura para o serviço de streaming de vídeo chamado Netflix.
Kaspersky Logo