Novo esquema de phishing atrai usuários com atualizações falsas da política de RH

Um caso curioso de técnicas de e-mail de phishing direcionado empregadas em grande escala.

Já faz algum tempo que vemos golpistas tentando utilizar truques de phishing direcionado em grande escala. Esse golpe normalmente se limita à criação de um e-mail um tanto mais sofisticado, que finge representar uma empresa específica, falsifica um remetente corporativo por meio de ghost spoofing e contém uma mensagem personalizada, o que, na melhor das hipóteses, significa abordar a vítima pelo nome. No entanto, em março deste ano, notamos algo muito intrigante com relação a esse tipo de golpe. Não era apenas o corpo do e-mail que estava personalizado, mas também o documento anexado. O esquema em si também era um pouco incomum: as vítimas eram induzidas a inserir suas credenciais de e-mail corporativo sob o pretexto de verificar alterações feitas na política de RH.

Uma solicitação falsa para revisar as novas diretrizes de RH

Veja como funciona. A vítima recebe um e-mail, aparentemente do RH, com uma saudação personalizada com seu nome. O e-mail informa sobre alterações na política de RH com relação a protocolos de trabalho remoto, benefícios e padrões de segurança. Alterações desse tipo são, naturalmente, do interesse de um funcionário. Portanto, ele clica no e-mail para acessar o documento anexado, que, aliás, também traz o nome do destinatário no título. Além disso, o e-mail tem um convincente banner informando que o remetente foi verificado e faz parte de uma lista de remetentes seguros. A experiência indica que esse é justamente o tipo de e-mail que merece uma análise mais detalhada.

Um e-mail que solicita que o destinatário revise as diretrizes de RH

Uma mensagem de e-mail de phishing destinada a atrair vítimas com atualizações falsas da política de RH

Para começar, o conteúdo do e-mail, incluindo o banner verde aparentemente confiável e a saudação personalizada, é uma imagem. Isso fica evidente ao tentar selecionar qualquer parte do texto com o mouse. Um remetente legítimo nunca enviaria um e-mail assim, pois não é nem um pouco prático. Salvar e enviar imagens personalizadas para cada funcionário em um anúncio de alcance tão amplo daria um enorme trabalho para o RH. O único motivo para incluir o texto em uma imagem é evitar os filtros antispam ou antiphishing.

Há outras pistas mais sutis no e-mail que podem revelar que se trata de um golpe. Por exemplo, o nome e até mesmo o formato do documento anexado não correspondem ao que é mencionado no corpo do e-mail. Mas em comparação com o e-mail “pitoresco”, esses são detalhes menores.

Um anexo que imita as diretrizes de RH

É óbvio que o documento anexado não contém nenhuma diretriz real de RH. Ele contém uma página de título com o logotipo de uma pequena empresa e um cabeçalho destacado que diz “Manual do funcionário”. O documento também apresenta um índice com os itens em vermelho (as alterações na política de RH), seguido por uma página com um código QR para acessar o documento completo. Por fim, há uma instrução bem simples sobre como escanear códigos QR com o celular. O código, claro, direciona para uma página onde o usuário é convidado a inserir suas credenciais corporativas, que é exatamente o que os golpistas buscam.

Um documento que finge destacar as atualizações das diretrizes de RH

O documento que os golpistas utilizam como isca

O documento está repleto de frases que buscam convencer a vítima de que ele foi feito especificamente para ela. Seu nome aparece até duas vezes: primeiro na saudação e depois na frase “Este documento é destinado à/ao…”, que vem antes da instrução. Ah, e sim, o nome do arquivo também inclui o nome da vítima. Mas a primeira pergunta que deve ser feita é: qual é o objetivo do documento?

Na prática, todas essas informações poderiam ter sido apresentadas direto no e-mail, sem a necessidade de se criar um arquivo personalizado de quatro páginas. Por que um funcionário do RH se daria ao trabalho de criar esses documentos aparentemente inúteis para cada funcionário da empresa? Sendo sinceros, a princípio duvidamos que os golpistas fossem se dar ao trabalho de criar um golpe tão elaborado. Mas nossas ferramentas confirmam que todos os e-mails de phishing desse tipo de golpe contêm anexos diferentes, cada um com o nome exclusivo do destinatário. É provável que isso se trate do trabalho de um novo mecanismo de mensagem automatizado que gera um documento e uma imagem de e-mail para cada destinatário. Ou talvez se trate apenas de alguns golpistas muito dedicados.

Como manter a segurança

A solução de segurança especializada consegue bloquear a maioria dos e-mails de phishing no servidor de e-mail corporativo. Além disso, todos os dispositivos utilizados pelos funcionários da empresa para trabalhar, incluindo celulares, também devem ser protegidos.

Também recomendamos educar os funcionários sobre as táticas modernas de fraude, compartilhando recursos do nosso blog, por exemplo, além de sempre aumentar a conscientização deles sobre segurança cibernética. Isso pode ser feito em plataformas como a Kaspersky Automated Security Awareness.

Dicas