Close Menu
Jornal Brasil AtualJornal Brasil Atual
  • RECEITAS
  • TECNOLOGIA
  • DIVERSOS
  • SHOPPING
  • CASA E DECORAÇÃO
  • MODA E BELEZA
  • RECEITAS
  • FINANÇAS
  • BEM-ESTAR
  • ALIMENTAÇÃO
  • PET

Subscribe to Updates

Get the latest creative news from FooBar about art, design and business.

What's Hot

Aprenda Como Tirar Cheiro Cachorro Casa Tapetes Sofa

15/07/2025

Moda casual masculina: Conforto e estilo para o dia a dia

15/07/2025

Traga A Praia Para Casa Com Decoração De Conchas

15/07/2025
Facebook X (Twitter) Instagram
Jornal Brasil AtualJornal Brasil Atual
CONTATO
  • RECEITAS
  • TECNOLOGIA
  • DIVERSOS
  • SHOPPING
  • CASA E DECORAÇÃO
  • MODA E BELEZA
  • RECEITAS
  • FINANÇAS
  • BEM-ESTAR
  • ALIMENTAÇÃO
  • PET
Jornal Brasil AtualJornal Brasil Atual
Início - TECNOLOGIA - Dropbox é usado para roubo de credenciais via campanhas de phishing
TECNOLOGIA

Dropbox é usado para roubo de credenciais via campanhas de phishing

20/10/202300
Facebook Twitter Pinterest LinkedIn WhatsApp Reddit Tumblr Email
Compartilhar
Facebook Twitter LinkedIn Pinterest Email

Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point® Software Technologies Ltd., não param de identificar novas campanhas de phishing nas quais os cibercriminosos se aproveitam de serviços legítimos e os utilizam para disseminação dos ataques.

“Um ataque crescente envolvendo o Dropbox esteve em circulação. Em setembro, os pesquisadores verificaram 5.550 desses ataques em que os hackers usaram o Dropbox para criar páginas de login falsas que eventualmente levavam a uma página de coleta de credenciais”, aponta Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email. Fuchs informou que ele e a equipe de pesquisadores entraram em contato com o Dropbox para informá-los sobre esta campanha.

O phishing via Dropbox é mais um exemplo de como os atacantes prosseguem utilizando serviços legítimos para ataques BEC 3.0. Os ataques Business Email Compromise 3.0 referem-se ao uso de sites legítimos – como o Dropbox – para enviar e hospedar material de phishing. A legitimidade desses sites torna quase impossível que os serviços de segurança de e-mail parem e que os usuários finais os detectem.

Esses ataques estão aumentando e os cibercriminosos estão usando todos os seus sites de produtividade favoritos: Google, Dropbox, QuickBooks, PayPal e muito mais. “É uma das inovações mais inteligentes que já vimos e, dada a escala desse ataque até agora, é uma das mais populares e eficazes”, diz Fuchs.

A seguir, os pesquisadores da Check Point Software explicam esse ataque, no qual os cibercriminosos adotam engenharia social com um domínio Dropbox, projetado para obter uma resposta do usuário e induzir a entrega de credenciais.

• Vetor de ataque: E-mail

• Tipo: BEC 3.0

• Técnicas: Engenharia Social, Coleta de Credenciais

• Alvo: Qualquer usuário final

Exemplo de e-mail

Este ataque começa com um e-mail vindo diretamente do Dropbox. Trata-se de um e-mail padrão que qualquer pessoa receberia do Dropbox, notificando que há um documento para visualizar. A partir daí, o usuário é direcionado para uma página legítima do Dropbox.

Embora o conteúdo seja o de uma página semelhante ao OneDrive, a URL está hospedada no Dropbox. Ao clicar em “Obter Documento”, o usuário é direcionado para a página de coleta de credenciais. Esta página hospedada fora do Dropbox é onde os atacantes querem que o usuário clique para roubar suas credenciais.

Técnicas

O Business Email Compromise (BEC) passou por uma evolução bastante rápida. Há apenas alguns anos, falava-se sobre os chamados golpes de “cartões-presente”. Eram e-mails que fingiam vir de um CEO ou executivo, pedindo a um subordinado que comprasse “cartões-presente”. A ideia é que os cibercriminosos usassem os cartões-presente para ganho pessoal. Esses e-mails normalmente vinham de endereços falsificados do Gmail, como CEO[@]gmail[.]com, e não CEO[@]company[.]com.

Também é possível perceber a representação de domínios e parceiros, mas esses eram sempre falsificações, e não reais.

A próxima evolução veio de contas comprometidas. Pode ser um usuário interno comprometido, como alguém do setor financeiro, ou até mesmo um usuário parceiro comprometido. Esses ataques são ainda mais complicados porque vêm de um endereço legítimo. Mas o usuário pode ver um link para uma página de login falsa do Office 365 ou uma linguagem artificial que o NLP — processamento de linguagem natural em português — pode entender.

Atualmente, o que se vê é o BEC 3.0, que são ataques de serviços legítimos. O NLP é inútil neste caso, pois a linguagem vem diretamente de serviços legítimos e nada está errado. A verificação de URL também não funcionará, pois direcionará o usuário para um Dropbox legítimo ou outro site.

Esses ataques são difíceis de serem impedidos e identificados, tanto para os serviços de segurança quanto pelos usuários finais. Por isso, começar pela educação é fundamental. Os usuários finais precisam se perguntar: conheço essa pessoa que está me enviando um documento? E mesmo se o usuário clicar no documento, a próxima coisa a perguntar: uma página do OneDrive em um documento do Dropbox faz sentido? Fazer essas perguntas pode ajudar, assim como passar o mouse sobre a URL na própria página do Dropbox.

Melhores práticas: orientações e recomendações

Para se proteger contra esses ataques, os profissionais de segurança precisam:

● Implementar segurança que usa IA para analisar vários indicadores de phishing;

● Implementar segurança completa que também pode digitalizar documentos e arquivos;

● Implementar proteção de URL robusta que verifica e emula páginas da web

Este conteúdo foi distribuído pela plataforma SALA DA NOTÍCIA e elaborado/criado pelo Assessor(a):
U | U
U

Compartilhar Facebook Twitter Pinterest LinkedIn Tumblr Telegram Email

Assuntos Relacionados

Como Jogar Lotomania: Guia Completo para Apostar e Ganhar

04/06/2025

CP Games se destaca no principal encontro de iGaming do Brasil

06/05/2025

Lava e seca: Tecnologia e eficiência para roupas limpas e bem cuidadas com inovação e praticidade

28/04/2025
EM DESTAQUE

Quanto Custa Alugar Equipamentos para Eventos? Guia Completo de Preços

25/10/20242

Assistir Record Ao Vivo: Veja a Programação Completa em Qualquer Lugar

11/10/20242

Móveis De Pallets Ideias Baratas E Sustentáveis

12/07/20251

Pode Dar Paracetamol Para Cachorro Jamais Faça Isso

12/07/20251

Trometamol Cetorolaco 10mg Para Que Serve? Analgésico Sublingual Potente

06/07/20251
QUEM SOMOS
QUEM SOMOS

Site de Notícias e Opinião

EM DESTAQUE

Quanto Custa Alugar Equipamentos para Eventos? Guia Completo de Preços

25/10/2024

Assistir Record Ao Vivo: Veja a Programação Completa em Qualquer Lugar

11/10/2024

Móveis De Pallets Ideias Baratas E Sustentáveis

12/07/2025
CONTATO

E-mail: [email protected]

Telefone:  +55 11 97498-4084

© 2025 Jornal Brasil Atual.
  • INÍCIO
  • QUEM SOMOS
  • Política de Cookies
  • Política de Privacidade
  • Termos de Uso
  • Política Editorial
  • CONTATO

Type above and press Enter to search. Press Esc to cancel.