Phishing “atrasado”: conheça a nova tática usada por cibercriminosos

Conhecido também pelo termo original em inglês “delayed phishing", o ataque consiste em enviar um e-mail “limpo” para passar pelas ferramentas de segurança e, posteriormente, alterar o destino da página para um conteúdo malicioso.

É aquela velha história: segurança cibernética é uma corrida de gato e rato. Ao mesmo tempo em que os profissionais do setor trabalham incansavelmente para garantir a segurança de nossas informações, os criminosos inventam cada vez mais formas de transpor essas barreiras de proteção. Como exemplo disso, podemos citar o delayed phishing, uma nova vertente de entrega de e-mails maliciosos que está se tornando febre entre os meliantes virtuais por conta da sua eficácia.

Se traduzirmos o termo de forma literal para o português, “delayed phishing” significa algo como “phishing atrasado” — e, por mais estranho que pareça, é exatamente isso que ele é. Nessa fraude, o conteúdo da mensagem é substituído por uma versão maliciosa apenas após o envio do e-mail. Sabendo que as empresas se protegem contra campanhas de phishing tradicionais através serviços que vasculham mensagens em busca de conteúdos suspeitos antes de entregá-las, algum cibercriminoso pensou: oras, se o “problema” está na varredura que ocorre antes da entrega da mensagem maliciosa, basta enviar um e-mail aparentemente inofensivo, com links para páginas normais e mudar seu conteúdo após a entrega ser efetuada. Bingo!

Lobo em pele de cordeiro

Em poucas palavras, o delayed phishing consegue passar pelas ferramentas que detectam conteúdos suspeitos em mensagens de e-mail porque, de fato, ao serem entregues, não direcionam o receptor para qualquer conteúdo malicioso. Geralmente, eles contêm links para páginas em branco ou sites legítimos sequestrados. Esses últimos são os favoritos dos criminosos, já que contam com reputação positiva e passam pelo filtro com extrema facilidade. A mensagem, enfim, chega à caixa de entrada.

Horas depois, o conteúdo direcionado por aquele link, que era originalmente inofensivo, torna-se malicioso. Porém, já é tarde demais. O usuário possivelmente vai clicar nele, acreditando se tratar de uma mensagem confiável. Na maioria das vezes, ele será direcionado para uma página falsa que simula uma loja virtual famosa ou um formulário qualquer que utiliza algum argumento para roubar dados pessoais. Geralmente, essa troca de conteúdo ocorre no período da noite.

Monitoramento contínuo

Embora o phishing atrasado pareça difícil de ser barrado, já existem ferramentas para proteção do cliente de e-mail que executam varreduras contínuas para identificar conteúdos maliciosos. Ou seja, em vez de simplesmente analisar uma mensagem quando ela chega na caixa de entrada, as plataformas monitoram os e-mails de maneira contínua e detectam de imediato qualquer alteração realizada nos conteúdos que já estejam armazenados localmente na sua caixa de entrada.

Além disso, é importante que você, como usuário final redobre a atenção em relação a e-mails suspeitos, já que, assim como phishings tradicionais, os phishings com atraso também podem apresentar indícios de que você está prestes a cair em uma armadilha. Preste atenção no domínio do remetente e outros detalhes como erros ortográficos ou imagens em baixa resolução.

Produção: Equipe de Conteúdo da Perallis Security

Conteúdo relacionado: Hacker Rangers - Gamificação para conscientização em cibersegurança