Um especialista em segurança emitiu um alerta aos usuários de e-mail da Microsoft sobre um golpe de phishing surpreendentemente convincente.
De acordo com Vsevolod Kokorin, cujo nome online é Slonser, existe um bug que permite aos cibercriminosos fazer com que os golpes de phishing pareçam muito mais credíveis. Isso pode significar que as vítimas podem clicar em links maliciosos sem perceber que fazem parte de uma fraude.
Especificamente, os malfeitores são capazes de imitar contas corporativas da Microsoft – aquelas que terminam em @microsoft.com – fazendo parecer que estão enviando e-mails de uma fonte confiável. Por exemplo, um e-mail pode parecer ter sido enviado de [email protected]conforme destacado na postagem original de Slonser.
Quero compartilhar meu caso recente:
> Encontrei uma vulnerabilidade que permite enviar uma mensagem de qualquer usuário@domínio
> Não podemos reproduzi-lo
>Envio um vídeo com a exploração, um PoC completo
> Não podemos reproduzi-lo
Neste ponto, decidi interromper a comunicação com a Microsoft. pic.twitter.com/mJDoHTn9Xv—slonser (@slonser_) 14 de junho de 2024
Embora a cópia do e-mail claramente não seja da Microsoft, o endereço de e-mail em si parece impressionantemente realista. Essa é uma tática comum em golpes de phishing, que induz as vítimas a clicar em links guiados por uma solicitação legítima, mas na verdade direciona as pessoas para um site malicioso.
Isso pode levar as pessoas a entregar informações confidenciais, pagar dinheiro a uma pessoa desconhecida ou baixar malware em um dispositivo sem que elas percebam.
Como a Microsoft respondeu?
Slonser relatou o bug à Microsoft, mas a empresa inicialmente disse que não foi capaz de reproduzir sua exploração original. Em uma postagem de acompanhamento de X, ele observou que a empresa de tecnologia havia reconhecido o problema.
Além do mais, falando com o site TechCrunch na quarta-feira, Kokorin disse: “A Microsoft apenas disse que não poderia reproduzi-lo sem fornecer quaisquer detalhes. A Microsoft pode ter notado meu tweet porque eles reabriram há algumas horas [sic] um dos meus relatórios que enviei há vários meses.”
O bug parece funcionar apenas ao enviar e-mails diretamente para contas do Outlook, portanto, os usuários de e-mail da Microsoft, em particular, devem estar atentos, dos quais existem cerca de 400 milhões no mundo.
Mesmo assim, os golpes de phishing podem atingir qualquer pessoa com qualquer conta de e-mail, sendo considerados uma das principais ameaças tecnológicas no início deste ano. Fique atento a quaisquer e-mails que tentem fazer com que você tome medidas urgentes. Em caso de dúvida, entre em contato diretamente com a empresa, em vez de clicar nos links dos e-mails.
Imagem em destaque: Pexels
