Hackers usam o Google reCAPTCHA para ocultar URLs de phishing e derrotar scanners de segurança de e-mail para roubar credenciais de usuários

A empresa de segurança cibernética Avanan detalhou uma campanha que explora o serviço reCAPTCHA do Google para contornar a segurança de e-mail e redirecionar usuários para URLs de phishing. Os sites usam CAPTCHA para garantir que estão interagindo com humanos reais e não com robôs.

De acordo com o relatório, os agentes de ameaças enviam e-mails com um anexo HTML que redireciona o alvo para um Google CAPTCHA. Enquanto muitas organizações implementam gateways de e-mail seguros (SEG) para proteger os usuários de e-mails de phishing. essas ferramentas são interrompidas por quebra-cabeças reCAPTCHA.

Como os verificadores de segurança automatizados não conseguem resolver o desafio do CAPTCHA e determinar a URL de destino, os agentes de ameaças estão usando o CAPTCHA para ocultar conteúdo malicioso.

Os invasores ignoram os recursos de segurança de e-mail ocultando URLs de phishing atrás do Google CAPTCHA.

A Avanan observou os agentes de ameaças usando domínios legítimos e formulários CAPTCHA para contornar filtros de e-mail seguros e acessar as caixas de entrada dos usuários.

Eles enviam e-mails de phishing com um PDF não protegido por senha fingindo ser um documento enviado por fax.

Quando uma vítima abre o documento, ela é redirecionada para uma página CAPTCHA. Depois de resolver o quebra-cabeça, a página redireciona o usuário para a página de phishing real que se assemelha a uma tela de login da Microsoft. A página de phishing solicita que a vítima insira suas credenciais, que acabam no banco de dados do invasor.

Os invasores exploram a confiança que a maioria dos usuários tem no serviço reCAPTCHA do Google, além de e-mails de phishing originados de um site legítimo. Nesse caso, os invasores usaram um site de universidade comprometido para enviar e-mails de phishing.

Por padrão, a maioria dos serviços de e-mail detecta e bloqueia URLs de phishing incorporados em e-mails. No entanto, como os formulários reCAPTCHA se conectam aos domínios do Google, as ferramentas de segurança de e-mail não conseguem impedir esses ataques.

“Talvez o CAPTCHA mais popular seja o reCAPTCHA do Google. A maioria dos scanners de segurança confia no Google, pois você não pode simplesmente bloquear o Google. O serviço reCAPTCHA faz conexões com endereços IP que pertencem ao Google e já estão na maioria das listas de permissões.”

Além disso, a incapacidade das ferramentas de segurança de e-mail de resolver os CAPTCHAs do Google os impede de determinar o conteúdo do e-mail.

Usar um documento protegido por senha, além de usar uma página do Microsoft OneDrive forjada de forma convincente, aumenta a ilusão de segurança.

Nesse caso, um scanner de segurança de e-mail automatizado deve extrair o URL de destino de um documento PDF e resolver o CAPTCHA. Essas condições impedem que os scanners de segurança de e-mail detectem URLs de phishing em anexos.

Da mesma forma, a maioria dos serviços de email fornece visualizações de anexos que permitem aos usuários determinar o conteúdo do email. No entanto, a incapacidade dos recursos automatizados de segurança de e-mail para resolver o captcha e gerar uma visualização força os usuários a baixar o arquivo anexado.

Como se defender contra URLs de phishing que ignoram a segurança de e-mail

A Avanan apresentou várias técnicas para evitar ser atraído para URLs de phishing por e-mails maliciosos que ignoram os recursos de segurança de e-mail.

A empresa aconselhou os usuários a verificar os URLs de destino antes de resolver os quebra-cabeças de captcha para evitar serem redirecionados inadvertidamente para sites de phishing e cair em ataques de phishing.

Além disso, os remetentes devem perguntar aos destinatários se os documentos PDF anexados deveriam ser protegidos por senha. Os destinatários também devem perguntar ao remetente se enviaram o documento por fax de sua casa ou escritório porque “se trabalham em casa, provavelmente não o enviaram por fax”.

Os invasores aproveitam os formulários reCAPTCHA do Google para se infiltrar nas caixas de entrada dos usuários porque os #emailsecurity scanners automatizados não conseguem resolver CAPTCHAs para determinar os URLs de #phishing de destino. #cibersegurança #respeitodadosclique para twittar

Essas recomendações demonstram que o comportamento do usuário é a primeira linha de defesa contra URLs de phishing ocultos atrás de captchas. O comportamento humano continua sendo o calcanhar de Aquiles da segurança cibernética, dando aos fraudadores uma vantagem sobre as equipes de segurança das organizações.

Leave a Comment