Na esteira das crescentes tensões entre Israel e o Irã, pesquisadores da Check Point Research (RCP) descobriu inúmeras tentativas de ataques de spear phishing do supostamente iraniano Phosphorus Grupo APT.
Os pesquisadores também presumem que a atividade pode ter sido realizada antes, mas até agora eles rastrearam isso pelo menos até dezembro 2021. Acredita-se que entre os objetivos da operação estava roubar digitalizações de passaportes, acesso a contas de e-mail e informações pessoais.
Muitos alvos importantes da operação incluíam pessoas como:
- Executivo sênior que trabalha na indústria de defesa israelense;
- Ex-presidente, que já trabalhou em um dos mais conhecidos centros de pesquisa do Oriente Médio;
- Uma pessoa, quem foi ex-embaixador dos EUA em Israel;
- Cadeira, que atualmente trabalha em um dos principais think tanks de segurança de Israel;
- Ex-major-general, que já ocupou um cargo alto na IDF (Forças de Defesa de Israel);
- Tzipi Livni, que foi ex-ministro das Relações Exteriores e vice-primeiro-ministro de Israel.
Para conduzir os ataques, os atores da ameaça assumiram o controle das contas de e-mail existentes de altos funcionários e fingiram estar envolvidos em uma longa correspondência com os alvos ou se inseriram em conversas existentes entre executivos e outras pessoas.
Não é a primeira vez que autoridades israelenses se tornam alvos de ameaças iranianas por meio de ataques por e-mail
Os e-mails falsificados no ataque incluíram phishing páginas do Yahoo, links para fazer upload de alguns documentos’ verificações, convites falsos para uma conferência ou pesquisa ou links para outros documentos reais relevantes para o alvo.
Um dos ex-altos funcionários israelenses que era ex-ministro das Relações Exteriores de Israel recebeu um dos e-mails falsos vindo de outro oficial sênior que era um conhecido ex-major-general das FDI.
O e-mail parecia ter um endereço genuíno e com o qual o ex-ministro das Relações Exteriores manteve correspondência no passado.
Tzipi Livni, A ex-ministra das Relações Exteriores de Israel foi abordada por alguém por meio de uma conta de e-mail sequestrada de um ex-major-general das FDI com um link para um arquivo que ela foi solicitada a abrir e ver.
Quando ela adiou a ação, foi abordada novamente com outro e-mail do mesmo endereço pedindo novamente para ela abrir o e-mail. Isso trouxe algumas suspeitas ao ex-executivo.
Ela conheceu pessoalmente o ex-major-general e perguntou sobre os e-mails que ele nunca enviou..
O grupo iraniano Phosphorus APT está supostamente por trás desses ataques de spear phishing
Pesquisadores de CPR presumem que uma entidade apoiada pelo Irã é responsável pelos ataques. Eles observam que todas as evidências possíveis apontam para a operação do mecanismo atribuído ao Irã Grupo APT de fósforo.
Este grupo bem conhecido tem uma longa história de visar funcionários de alto nível, principalmente de Israel, propagando assim os interesses de o regime iraniano.
Como reconhecer e-mails de phishing
Mas não só os funcionários de alto nível podem ser alvo de phishing porque as pessoas comuns também se tornam uma. Para saber se você possivelmente recebeu um e-mail de phishing procure os próximos sinais para confirmar ou descartar suspeitas:
- Domínios Falsos. Se você recebeu algum e-mail inesperado e não tem certeza se ele é legítimo, a primeira coisa a fazer seria verificar o domínio de onde veio o e-mail. Muitas vezes para minimizar sua atenção, os atores da ameaça criarão domínios que à primeira vista parecem legítimos, mas na realidade não são.
Por exemplo, você pode receber um e-mail do que parece ser o domínio lionsbank.com do seu banco, mas se olhar com atenção, poderá notar uma diferença. Em vez de lionsbank.com, pode ser algo como lionsdank.com; - Solicitações suspeitas. Existem e-mails de phishing para roubar suas informações pessoais, dinheiro, credenciais e se você for solicitado a produzir uma dessas ou outras solicitações incomuns ou suspeitas, o certo é que você está lidando com um e-mail de phishing;
- Truques psicológicos. Se você acha que o e-mail que recebeu é um pouco coercitivo, significa que provavelmente você está lidando com phishing. Eles incentivam você a fazer algo, até ameaçar com algumas consequências legais para fazer o que o e-mail pede. Sem dúvida é um phishing.
O que outras músicas sugerem sobre phishing
Em primeiro lugar, o e-mail recebido dá uma sensação de urgência.
Os destinatários são avisados de que algo precisa ser feito imediatamente, a menos que você não queira consequências desagradáveis.
Isso é feito porque é menos provável que uma pessoa com pressa pense na genuinidade do e-mail recebido..
O segundo truque de phishing popular é enviar e-mail de alguma autoridade. Neste caso, é mais provável que os agentes da ameaça conduzam o comprometimento do e-mail comercial (BEC) golpes e truques semelhantes de spear phishing que geralmente são disfarçados como se fossem enviados por um CEO ou outra pessoa com autoridade.
E-mails de phishing com esse tom provam o fato de que as pessoas às vezes estão muito inclinadas a acreditar que e-mails vindos de alguém com autoridade são certamente legítimos.
Outro método popular entre os agentes de ameaças, mas geralmente não entre aqueles que visam pessoas de alto perfil, é ameaçar um destinatário ou chantageá-lo..
Eles impõem a exigência de que, se um destinatário não fizer o que pede, ele vazará algumas informações confidenciais ou destruirá outras informações valiosas..
O medo é o que, nesses casos, torna a tentativa de phishing bem-sucedida. As pessoas temem ser punidas ou sentir vergonha e é isso que faz o destinatário obedecer aos phishers’ solicitações de.
E a última coisa a mencionar é que se você suspeitar que o e-mail que recebeu pode ser phishing, é melhor não fazer nada com ele.. Não abra nenhum anexo, não clique em nenhum link nele e, claro, não responda com nada.
Será melhor simplesmente excluir esse e-mail ou reportar à equipe de TI se você recebeu tal e-mail no trabalho.