Phishing utilizando o nome do Dropbox. CUIDADO !!!!

Especialistas da Symantec detectaram uma fraude com base em contas Dropbox para servir páginas de phishing através de canais de comunicação seguros.

Recentemente, um vazamento de dados massivo tem interessado  DropBox , uma semana atrás, uma conta guest postou no Pastebin quatro documentos diferentes, todos alegando ser parte da "corte massivo de 7.000.000 de contas". O autor também antecipou que há "mais por vir", convidando todos os usuários interessados ​​nos dados para fazer um pagamento Bitcoin para ele.

Outras fontes afirmam que o vazamento de dados aparentemente surgiu neste Reddit  fio , onde alguns usuários do Reddit, que testaram as credenciais confirmaram que muitos deles ainda funcionam. Lendo os comentários, parece que o Dropbox em resposta ao vazamento de dados tem repor todas as contas listadas no Pastebin, mesmo assim a empresa nega que sofreu uma  violação de dados .

Mas, para usuários Dropbox, não há paz, de acordo com os especialistas da Symantec são alvo de tentativa de phishing hospedado no Dropbox. Os pesquisadores de segurança da Symantec descobriu uma página falsa de login Dropbox usado pelos atores de ameaças para roubar credenciais para os serviços de e-mail populares.

Na realidade, os criminosos também são alvo de outros serviços na Internet, incluindo o serviço de e-mail baseado na web, a implantação de uma página de log-in falso no site de compartilhamento de arquivos, tirando partido da sua protocolo seguro.

O esquema de ataque executado por criminosos cibernéticos é engenhosa e aproveitar os recentes incidentes ocorreu DropBox para maximizar a sua eficiência.

De acordo com um clássico  phishing  esquema, as vítimas recebem um e-mail não solicitado com um assunto que os que são potenciais vítimas de violação de dados informar. O assunto do e-mail inclui a palavra "importante" para enganar as vítimas, o e-mail informa as vítimas que um grande arquivo que contém as credenciais de vítimas pode ser visto apenas sobre Dropbox. Uma vez que a vítima clica no link no e-mail, ele é redirecionado para uma página de login falsa Dropbox, onde ele é convidado para as credenciais do Dropbox.

Os atacantes exploram o fato de que a página falsa Dropbox é que ele é servido sobre SSL ea página reproduz exatamente a página DropBox, as vítimas têm a percepção de estar na página legítima Dropbox.

Página de phishing Dropbox

"A página parece que a página de login real, Dropbox, mas com uma diferença crucial. Os golpistas estão interessados ​​em phishing para mais do que apenas as credenciais do Dropbox; Eles também incluíram logos de serviços populares de e-mail baseado na Web, o que sugere que os usuários podem efetuar login usando essas credenciais também. ", diz o  post no blog  publicado pela Symantec.

De qualquer forma, alguns dos recursos presentes na página não são enviados utilizando o protocolo SSL (por exemplo Images) causando algum navegador para exibir avisos para o usuário. Os avisos são exibidos de diferentes maneiras por navegadores web, em alguns casos, eles poderiam passar despercebidas pelas vítimas, por exemplo, alguns navegadores continuam a mostrar o símbolo do cadeado na barra de endereços, mas com um ícone diferente. No caso específico das credenciais foram enviadas para um script PHP em um servidor comprometido.

"A página de login falso está hospedado em domínio de conteúdo do usuário do Dropbox (como fotos e outros arquivos compartilhados são) e é servido sobre SSL, tornando o ataque mais perigoso e convincente", afirma o relatório.

O caso não é novo, no fim de agosto eu já escrito sobre o abuso do serviço Dropbox para a atividade de phishing. Em julho, os especialistas da Micro analisou um ataque direcionado contra uma entidade do governo de Taiwan, que usou uma variante do  RAT PlugX  que abusa do serviço Dropbox.

Symantec já relatou a atividade de phishing para Dropbox, que imediatamente tomou página a conta usada pelos atores ruins para baixo.

Pierluigi Paganini