Phishing é um dos métodos fraudulentos mais comuns usados para obter acesso não autorizado a contas na Internet. Um certo grupo de hackers, que obteve acesso a mais de mil contas de usuários do Microsoft Office 365, acidentalmente “vazou” informações sobre eles para o público.
Um exemplo de e-mail de phishing
O anúncio foi feito hoje pelo portal Bleeping Computer com referência aos relatórios das agências de investigação na área da cibersegurança – Check Point e Otorio. Os dados de phishing de fraudadores de usuários corporativos do Microsoft Office 365 usaram páginas da Web falsas em execução em servidores WordPress. Ao mesmo tempo, eles salvaram as informações recebidas em um arquivo comum, para o qual um link foi definido no código de todas as páginas maliciosas. Esse mesmo arquivo, como se descobriu, foi indexado por um mecanismo de busca – como resultado, o Google poderia mostrar as senhas para uma solicitação de busca por um endereço de e-mail roubado. Informações mais detalhadas podem ser obtidas no relatório, por exemplo, o endereço IP e os dados de localização do proprietário da conta.
Estatísticas do relatório
Em sua pesquisa, a Check Point e o Otorio descobriram que os setores de construção, energia e tecnologia foram os mais atingidos pelo phishing. Os funcionários que trabalham nessas áreas são mais suscetíveis a técnicas de phishing.
A coleta de dados foi organizada de forma elementar. Os invasores enviaram mensagens de email falsas com links para a página de download do documento, onde foram solicitados a inserir dados de uma conta da Microsoft para acesso.
Parte do código de tal página
Vale ressaltar que os hackers construíram um algoritmo para verificação automática dos dados inseridos com os serviços originais da Microsoft no código JavaScript dessas páginas. Para isso, utilizava-se o procedimento de login no site oficial da Microsoft e, se a autorização ocorresse sem erros, os dados eram registrados no relatório, caso contrário o sistema solicitava uma nova tentativa.
Para se alertar contra esse tipo de fraude, preste atenção na grafia dos nomes nos links, no design das páginas, procure informações sobre elas na internet e mais uma vez não preste atenção a mensagens provocativas.
Em vez de um possível Ghostrunner 3, os desenvolvedores do estúdio polonês One More Level…
Microsoft, Google e Amazon estão entre as empresas de tecnologia que gastaram quase US$ 1…
No evento "The Briefing: AI for Science", a Anthropic anunciou o Claude Science, um novo…
As células de hidrogênio tradicionais exigem o uso de usinas de energia caras que geram…
O fracasso do jogo de ação cooperativo da Rocksteady Studios, Suicide Squad: Kill the Justice…
O OxygenOS e a Realme UI não serão mais usados nos novos modelos de smartphones…