Se você acha que phishing se resume a e-mails mal escritos com links duvidosos, é melhor atualizar seu conceito. A nova campanha detectada por pesquisadores da Cloudflare mostra que os atacantes estão um passo à frente usando serviços legítimos como Bitly e Proofpoint para criar um sistema de redirecionamento em camadas que dribla até mesmo os sistemas de segurança mais robustos.
O golpe começa com um e-mail comum… mas nada é o que parece
A mensagem pode chegar como uma notificação de correio de voz, um convite falso do Microsoft Teams ou até um alerta sobre documentos recebidos. Tudo aparentemente legítimo. O clique, no entanto, inicia uma viagem silenciosa e engenhosa por uma cadeia de redirecionamentos.
Primeiro, o link passa por um encurtador de URL como Bitly. Depois, é “revestido” por sistemas de segurança corporativa, como o Proofpoint URL Defense. O resultado? Um link que parece seguro, porque está dentro de domínios confiáveis como urldefense.proofpoint[.]com, mas que leva direto para páginas de phishing.
SVG: o novo truque dos hackers
Outro ingrediente novo da receita maliciosa são os arquivos SVG. Diferente de JPEGs ou PNGs, os SVGs são arquivos XML que podem conter JavaScript, HTML e hyperlinks embutidos. Ou seja, são perfeitos para esconder código malicioso em anexo aparentemente inofensivo.
Segundo o NJCCIC, esses arquivos podem conter scripts que redirecionam silenciosamente o usuário para páginas falsas como uma suposta reunião do Zoom que “expira” e pede que você insira suas credenciais para reconectar. Claro, tudo isso é fake, e seus dados vão direto para os criminosos via Telegram.
O problema da confiança em ferramentas legítimas
A beleza (e o perigo) dessa tática está em como ela se apoia em ferramentas confiáveis. Bitly é amplamente usado para encurtar links. Proofpoint é adotado por grandes empresas para proteger usuários. E o Microsoft 365 é onipresente no ambiente corporativo.
Ao combinar essas ferramentas com engenharia social e redirecionamentos múltiplos, os criminosos conseguem escapar de filtros de spam, firewalls e mecanismos anti-phishing. E, pior: ainda parecem confiáveis aos olhos do usuário.
Variantes do ataque: Teams, Zoom e documentos falsos
Os vetores usados são variados:
- E-mails falsos de correio de voz com links para escutar a gravação
- Convites falsos do Microsoft Teams com “mensagens não lidas”
- Avisos sobre novos documentos no SharePoint ou OneDrive
Em todos os casos, o objetivo final é o mesmo: roubar suas credenciais do Microsoft 365.
Como se proteger dessa nova onda de phishing?
- Desconfie até dos links “seguros”. Mesmo um
urldefense.proofpoint.compode esconder algo malicioso. - Evite clicar em links encurtados sem saber a origem.
- SVGs são o novo cavalo de Troia digital. Evite abrir anexos SVG recebidos por e-mail, especialmente se o remetente for desconhecido.
- Habilite autenticação em duas etapas sempre que possível.
O phishing evoluiu e sua atenção também precisa evoluir
A sofisticação desses ataques mostra que segurança hoje é mais sobre comportamento do que tecnologia. Os criminosos estão se escondendo atrás da credibilidade de serviços respeitados. E estão vencendo onde o usuário confia sem questionar.
Se até os filtros corporativos foram enganados, será que sua equipe está preparada para reconhecer esse tipo de ameaça?
