{"id":21166,"date":"2023-04-27T15:40:29","date_gmt":"2023-04-27T18:40:29","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21166"},"modified":"2023-04-27T15:40:29","modified_gmt":"2023-04-27T18:40:29","slug":"what-is-conversation-hijacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/what-is-conversation-hijacking\/21166\/","title":{"rendered":"Sequestro de conversas e como lidar com isso"},"content":{"rendered":"

Ataques direcionados de e-mail n\u00e3o se limitam a phishing direcionado e comprometimento de e-mail corporativo<\/a> (BEC, na sigla em ingl\u00eas). Outra amea\u00e7a s\u00e9ria \u00e9 o sequestro de conversas. Em resumo, este \u00e9 um esquema por meio do qual os cibercriminosos se infiltram em uma conversa de e-mail de neg\u00f3cios e se fazem passar por um dos participantes. Este post analisa como esses ataques funcionam e o que fazer para minimizar as chances de sucesso.<\/p>\n

Como os cibercriminosos conseguem acessar suas correspond\u00eancias online?<\/h2>\n

Para se inserir em uma conversa de e-mail privada, os cibercriminosos precisam de alguma forma ter acesso \u00e0 caixa de correio ou, pelo menos, ao arquivo de mensagens. Existem v\u00e1rios truques que podem ser usados para isso.<\/p>\n

O mais \u00f3bvio \u00e9 hackear a caixa de correio. Para servi\u00e7os em nuvem, descobrir senhas na for\u00e7a bruta \u00e9 o m\u00e9todo escolhido: os cibercriminosos procuram senhas associadas a um determinado endere\u00e7o de e-mail em vazamentos de servi\u00e7os online e tentam us\u00e1-las em contas de e-mail corporativas. \u00c9 por isso que \u00e9 importante, em primeiro lugar, n\u00e3o usar as mesmas credenciais para diferentes servi\u00e7os e, em segundo lugar, n\u00e3o fornecer um endere\u00e7o de e-mail corporativo ao se registrar em sites n\u00e3o relacionados ao trabalho. Um m\u00e9todo alternativo \u00e9 acessar e-mails por meio de vulnerabilidades no software do servidor.<\/p>\n

Os criminosos raramente permanecem no controle de um endere\u00e7o de e-mail corporativo por muito tempo, mas geralmente t\u00eam tempo suficiente para baixar o arquivo de mensagens. \u00c0s vezes, eles criam regras de encaminhamento nas configura\u00e7\u00f5es para receber os e-mails que chegam na caixa de correio em tempo real. Assim, eles podem apenas ler as mensagens e n\u00e3o enviar nenhuma. Se pudessem enviar, provavelmente tentariam realizar um ataque BEC.<\/p>\n

Outra op\u00e7\u00e3o \u00e9 o malware. Recentemente, nossos especialistas descobriram uma campanha massiva de sequestro de conversas<\/a> destinada a infectar computadores com o trojan QBot. Os e-mails nos quais os cibercriminosos plantaram sua carga maliciosa provavelmente vieram de v\u00edtimas anteriores do mesmo malware QBot (que pode acessar arquivos de mensagens locais).<\/p>\n

Mas os autointitulados hackers ou operadores de malware n\u00e3o necessariamente adotam a t\u00e9cnica de sequestrar conversas \u2013 \u00e0s vezes, arquivos de mensagens s\u00e3o vendidos na dark web e usados por outros golpistas.<\/p>\n

Como funciona o sequestro de conversa\u00e7\u00f5es?<\/h2>\n

Os cibercriminosos vasculham arquivos de mensagens em busca de e-mails entre v\u00e1rias empresas (parceiros, contratados, fornecedores etc.). As datas n\u00e3o importam \u2013 os golpistas podem retomar conversas muito antigas. Depois de encontrar uma troca de e-mails adequada, eles escrevem para uma das partes envolvidas, se passando por outra parte. O objetivo \u00e9 enganar a pessoa do outro lado a fazer algo exigido pelos cibercriminosos. Antes de come\u00e7ar, eles \u00e0s vezes trocam algumas mensagens apenas para reduzir a vigil\u00e2ncia do alvo.<\/p>\n

Como o sequestro de conversas \u00e9 um ataque direcionado, ele muitas vezes usa um dom\u00ednio semelhante; ou seja, um dom\u00ednio visualmente muito pr\u00f3ximo ao de um dos participantes, mas com alguma pequena inconsist\u00eancia \u2013 digamos, um dom\u00ednio de n\u00edvel superior diferente, uma letra extra ou um s\u00edmbolo substitu\u00eddo por um semelhante.<\/p>\n

Os e-mails dos atacantes: a letra \"n\" aparece em vez de \"m\" no nome do dom\u00ednio.

Os e-mails dos atacantes: a letra \u201cn\u201d aparece em vez de \u201cm\u201d no nome do dom\u00ednio.<\/p><\/div>\n

Para que \u00e9 usado o sequestro de conversa\u00e7\u00f5es?<\/h2>\n

Os objetivos do sequestro de conversas geralmente s\u00e3o bastante banais: roubar credenciais de login para obter acesso a algum recurso, enganar a v\u00edtima para enviar dinheiro para a conta dos atacantes ou fazer com que a v\u00edtima abra um anexo malicioso ou siga um link para um site infectado.<\/p>\n

Como se proteger contra o sequestro de conversas?<\/h2>\n

A principal amea\u00e7a que o sequestro de conversa\u00e7\u00f5es representa \u00e9 que esses e-mails s\u00e3o bastante dif\u00edceis de detectar automaticamente. Felizmente, nosso arsenal inclui o Kaspersky Security for Microsoft Office 365<\/a>, uma solu\u00e7\u00e3o que detecta tentativas de participar furtivamente de conversas de outras pessoas. Para mitigar ainda mais os riscos tanto para voc\u00ea quanto para seus parceiros de neg\u00f3cios, recomendamos:<\/p>\n