Os golpes de phishing talvez sejam uns dos mais comuns entre criminosos, e esses golpistas inovam cada vez mais para atrapalhar a vida de usuários da internet. Um novo tipo de golpe usa esse método do phishing por meio de anúncios pagos no Google para roubar dados de pessoas enquanto oferece serviços comuns, como o Office 365.A fraude não é sofisticada, tampouco revolucionária, mas é eficiente. Os criminosos pagam para anunciar serviços ou produtos ordinários, que encabeçam o topo das buscas no Google. Desavisadas, as vítimas clicam nas propagandas e caem em um ciclo de redirecionamentos perigosos.Saiba mais: Cibercriminoso vende 15,7 milhões de contas vazadas do PayPalO alvo dos criminosos? Roubar credenciais de funcionários de empresas. Para isso, esses golpistas manipulam um sistema chamado ADFS, muito utilizado por companhias para gerar acesso rápido em diversos ambientes com somente um login. Nesse esquema, suas credenciais são roubadas de forma quase que invisível.O que é o ataque?Ataques com propagandas direcionadas pelo Google não são nada novo na internet, mas o fato desse tipo de crime mirar credenciais de funcionários chama a atenção. Quem descobriu o caso foi a agência de segurança Push Security, quando seus clientes começaram a ser redirecionados para um site de phishing diferente.Tudo começou quando uma das vítimas pesquisou no Google sobre “Office 265”. Embora esteja escrito errado, e seja uma falha normal de digitação, o usuário clicou no primeiro resultado ofertado pelo buscador. Contudo, o link era uma propaganda direcionada por atores maliciosos.Ao clicar no site, para a surpresa de muitos, direcionava o usuário para a página real do Microsoft Office. Todavia, o truque do golpe reside exatamente nessa parte: redirecionamentos. Logo após acessar o site, a vítima é direcionada para outro domínio chamado “bluegraintours” e então enviava o usuário para uma página de phishing configurada para coleta de dados.Como o golpe é realizado?Por mais que pareça algo bem complexo, os golpistas utilizaram uma técnica de manipulação para explorar um tipo de vulnerabilidade no Active Directory Federation Services (ADFS). Essa sigla é basicamente um serviço que permite organizações e funcionários usarem um único login para acessar vários apps e serviços, mesmo que não estejam conectados na mesma rede.Leia mais: Golpe da Encomenda evolui e agora possui até mesmo o código de rastreio da AmazonEle é quase um facilitador de acessos que funciona no esquema SSO, de login único. Em outras palavras, é um tipo de credencial que te permite entrar em diversas plataformas com o mesmo usuário/email e senha.O que os criminosos fazem é criar um tipo de ambiente isolado falso, que simula uma plataforma onde uma empresa pode gerenciar usuários e diversos dados. Quando a vítima acessa o site do Office e cai no site de phishing, os sistemas de defesa são totalmente burlados, já que aquele domínio “bluegraintours” engana a segurança, pois parece legítimo.Domínio “bluegraintours” aparece diversas vezes na linha do tempo do golpe (Imagem: Plush Security)Vale notar que o domínio “bluegraintours” sequer aparece para a vítima. É como se ele rodasse em segundo plano e estivesse ali apenas para contornar as medidas de segurança presentes no ADFS e em serviços de autenticação de dois fatores.Como o atacante gerencia ambos os lados — a página de golpe e o serviço ADFS — ele “permite” que a autenticação prossiga, fazendo com que a vítima acredite que está em um processo de login legítimo.Um anúncio patrocinado malicioso é exibido no Google em buscas comuns, como “Office 365”;Ao clicar, a vítima chega a entrar no site oficial da Microsoft, mas cai em um domínio intermediário e, depois, em um site de phishing;No site de phishing, a vítima insere suas credenciais de acesso, acreditando estar acessando um site legítimo;O golpe reside na exploração do ADFS, que permite login único em diversas apps ou serviços;As defesas da Microsoft não detectam ameaças, já que o anúncio falso direciona o usuário para um domínio intermediário que camufla a fraude.O intermediário de uma fraudeAlém do crítico fato do Google estar ativamente promovendo propagandas pagas que culminam em golpes de phishing, o roubo de dados nem é a parte mais interessante do golpe. O segredo da fraude consiste no caráter intermediário no qual as coisas se desenvolvem.Momento em que o servidor ADFS recebe solicitação de autorização do domínio invasor (Imagem: Plush Security)O domínio “bluegraintours” é totalmente preenchido com conteúdos falsos, como postagens irreais. É essa página que consegue se camuflar e passar despercebida pelos mecanismos de segurança. Mesmo que inicialmente toda vítima entre no real site da Microsoft, as defesas da empresa não são alarmadas porque o golpe usa o domínio “office.com” para gerar um novo redirecionamento.Você pode se interessar: Ministério Público prende quadrilha especializada em golpe do boleto falsoSegundo os pesquisadores, o golpe é exibido apenas para vítimas em certas condições, como localização geográfica ou tipo de navegador. Caso o usuário não cumpra esses requisitos, ele seria direcionado ao site verdadeiro da Microsoft, e isso torna o golpe bem difícil de ser detectado.Para mais informações sobre golpes e o funcionamento de fraudes digitais, continue ligado no site do TecMundo.