Uma nova operação do cibercrime do Irã mirando autoridades de Israel e Estados Unidos foi descoberta pela Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, uma fornecedora de soluções de cibersegurança global. O cibercrime iraniano utilizou técnicas de spear phishing – que utiliza de iscas personalizadas para atrair pessoas específicas – para atingir ex-oficiais israelenses, militares e executivos de alto escalão, bolsistas de instituições de pesquisa, think tanks e cidadãos israelenses.
LEIA MAIS: Cibercriminosos de olho em consumidores no Dia dos Namorados
Os ataques usaram uma infraestrutura de phishing personalizada, bem como uma ampla variedade de contas de e-mail falsas para personificar assuntos confiáveis. Essas descobertas da CPR chegam em um momento de crescentes tensões entre Israel e Irã, em que ocorreram tentativas anteriores do Irã de atrair alvos israelenses por e-mail.
Os alvos incluíram a ex-ministra de Relações Exteriores de Israel, Tzipi Livni, o ex-embaixador dos Estados Unidos em Israel, o ex-major-general das Forças de Defesa de Israel (IDF – Israel Defense Forces) e três outros executivos.
Como o ataque funcionou
Os cibercriminosos invadiram as caixas de entrada de e-mails de altos funcionários em Israel e depois usaram esses e-mails para atingir outros funcionários de alto nível para roubar informações pessoais. Os atacantes sequestraram as trocas de mensagens existentes e trocaram e-mails por novos, fingindo ser outra pessoa, para enganar suas vítimas e fazer com que conversassem com eles.
A CPR acredita que o objetivo dessa operação de cibercrime é roubar informações pessoais, digitalizar passaportes e acessar contas de e-mail.
Para facilitar a operação de spear phishing, os atacantes adotaram um encurtador de URL falso, a fim de disfarçar os links de phishing, e também recorreram a um serviço de verificação de identidade legítimo para o roubo de documentos de identidade.
A Check Point Research acredita que os cibercriminosos por trás da operação fazem parte de uma entidade apoiada pelo Irã. Evidências apontam para uma possível conexão com o grupo APT Phosphorus, atribuído ao Irã, o qual tem um longo histórico de conduzir operações cibernéticas de alto nível alinhadas com os interesses do regime iraniano, além de visar autoridades israelenses.
O que o usuário deve fazer se suspeitar de um ataque de phishing
Os ataques bem sucedidos realizados pelo cibercrime iraniano mostram os riscos do phishing. Segundo a Check Point, o impacto e o custo de um ataque como esse em uma organização ou até para uma pessoa dependem da velocidade e exatidão de sua resposta. Se um usuário suspeitar que uma mensagem possa ser um e-mail de phishing, recomenda-se seguir estas etapas:
- Não responder, nem clicar em links ou abrir anexos: ou seja, nunca faça o que um atacante quer. Se houver um link, anexo ou solicitação de resposta suspeitos, não clicar, abrir ou enviar.
- Denunciar o e-mail para a equipe de TI ou de segurança da empresa: os ataques de phishing geralmente fazem parte de campanhas distribuídas. Informar o e-mail suspeito recebido à equipe de TI ou de segurança para que os especialistas possam iniciar uma investigação e realizar o controle de danos o mais rápido possível.
- Excluir o e-mail suspeito: Após denunciar à equipe de TI ou de segurança, deve-se excluir o e-mail suspeito da caixa de entrada. Isso diminuirá a chance de o usuário clicar acidentalmente no e-mail sem perceber e evitará desencadear o phishing.
- Embora a conscientização sobre as táticas comuns de phishing e o conhecimento das práticas recomendadas antiphishing sejam importantes, os ataques modernos de phishing são sofisticados o suficiente para que alguns sempre passem despercebidos. O treinamento de conscientização sobre phishing deve ser complementado com soluções antiphishing que podem ajudar a detectar e bloquear tentativas de campanhas deste tipo de golpe. A recomendação é por soluções que oferecem visibilidade e proteção em todas as técnicas de phishing por e-mail.