PDFs online usados em phishing para e-mails corporativos

A novidade na batalha dos golpistas por credenciais de e-mail corporativo envolve notificações supostamente dos serviços online da Adobe. E porque eles começaram a usar um arquivo PDF online (teoricamente armazenado no site da Adobe), criamos um arquivo real para destacar os sinais de um e-mail suspeito e um falso “PDF online”.

Mensagem de phishing online em Adobe PDF

Nas mensagens de phishing, a primeira coisa que se destaca é a descrição do arquivo – compartilhado “com segurança” com você por meio do “Adobe PDF online”. Imediatamente, pergunte-se: o serviço realmente existe? Parece plausível, e uma rápida pesquisa no Google dirá que a Adobe realmente tem um serviço para armazenar arquivos PDF online, e esse serviço permite que os usuários compartilhem arquivos criptografados. Mas você não encontrará o nome “Adobe PDF online” em nenhum lugar em um site real da Adobe. Pode ser “Adobe Acrobat online” ou “Adobe Document Cloud”. Curioso, pedi a um colega que me enviasse um arquivo para que eu pudesse comparar as notificações.

A mensagem verdadeira é a da direita

Suponhamos que você não saiba como é um e-mail real de compartilhamento de arquivos da Adobe. Aqui estão alguns sinais de alerta. Nenhuma das opções a seguir é garantia de fraude, e há exceções para todas as regras, mas cada uma deve levantar suas suspeitas e solicitar que você preste muita atenção e investigue mais:

1. O remetente. Se um e-mail for de um serviço online, isso deve ser óbvio pelo nome e endereço do remetente. Por outro lado, se o remetente for uma pessoa específica, uma mensagem dele não parecerá uma notificação de um serviço;

2. O assunto do e-mail. Se você estiver escrevendo para alguém chamado Leo, você escreveria algo como “leonides@gmail.com recebeu um arquivo PDF” como assunto?

3. O nome do serviço. Você não precisa lembrar o nome de cada serviço online, mas se não tiver certeza, use um mecanismo de busca para verificar;

4. Hiperlink / ícone. Antes de clicar em um ícone de Download ou Abrir, passe o cursor sobre eles para inspecionar o hiperlink e certifique-se de que ele será direcionado para onde deveria;

5. Rodapé do e-mail. É altamente improvável que um e-mail da Adobe termine com uma garantia de que a Microsoft respeita sua privacidade;

6. As palavras “leia nossa Declaração de Privacidade” sem hiperlink.

Não é o site da Adobe Document Cloud

No momento, ainda podemos contar com os phishers para cometer erros estúpidos, mas nada os impede de fazer um bom trabalho. Suponha que o e-mail esteja ótimo. Agora é hora de verificar o site, que neste caso se parece com uma janela de autenticação aplicando uma espécie de overlay a interface borrada do Adobe Acrobat Reader DC. Isso é realmente plausível, embora apenas se a pessoa que recebeu o e-mail não souber como é o site real dos serviços online da Adobe e sua janela de solicitação de senha.

Solicitação de senha no site de phishing (parte superior) e no site real da Adobe

Aqui, os sinais de aviso variam um pouco. Comece com o fundo desfocado: proteção pouco profissional para dados confidenciais; parte do texto é fácil de decifrar a olho nu.

1. A URL. O site de um serviço da Adobe deve ter um domínio da Adobe em seu endereço;

2. Nome do arquivo. Apesar do borrão, você ainda pode ver o nome do arquivo: EMInvoice_R6817-2.pdf. Isso não corresponde à janela de autenticação, que diz que o arquivo disponível para download se chama “Wire Transfer Receipt.pdf“;

3. Termos mistos. O documento borrado tem “Fatura” escrita nele (como se fosse uma solicitação de pagamento), mas o nome do arquivo diz “recibo,” (confirmando o pagamento já recebido);

4. Versões do programa. O nome “Adobe Acrobat Reader DC” é aparente no fundo desfocado, enquanto o programa nomeado na janela de autenticação é Adobe Reader XI. Alguém que raramente usa PDFs pode não saber que o XI é uma versão mais antiga do software, mas a discrepância deve se destacar de qualquer maneira;

5. AdobeDoc Security. Você pode não controlar os nomes que a Adobe usa para suas tecnologias, mas há um símbolo de marca registrada próximo a “AdobeDoc” e vale a pena conferir;

6. Solicitação de senha de e-mail. Um serviço legítimo da Adobe não precisa de sua senha de e-mail, ponto final.

Como proteger o e-mail corporativo de phishers

Para manter os funcionários da empresa protegidos contra phishing:
● Regularmente aumente a conscientização dos funcionários sobre as ciberameaças atuais para ajudá-los a evitar cair em truques de phishing;

● Instalar uma solução antiphishing no servidor de e-mail corporativo para evitar que a maioria dos e-mails de phishing cheguem às caixas de entrada dos funcionários;

● Instale produtos de segurança com componentes antiphishing em cada computador de trabalho; seus filtros impedirão que os funcionários abram links de phishing.