Google e Microsoft são alvos de páginas falsas para minerar criptomoedas

O Netskope Threat Labs identificou que, ao longo de 2022, os hackers aumentaram a sofisticação em técnicas de SEO para impulsionar o alcance de sites maliciosos em mecanismos de busca e em hospedagem de páginas falsas no Google Sites e Azure Web App.

O objetivo da ação é ganhar a confiança das vítimas e ampliar as chances de sucesso no roubo de credenciais de acesso em sites de transações de criptomoedas.

Nesta campanha, os alvos foram Coinbase, Kraken, Gemini e Metamask – listadas no topo do ranking da Forbes entre melhores corretoras de criptomoedas do mundo.

De acordo com a Netskope, a técnica “consiste em criar páginas cuidadosamente elaboradas, incluindo até mesmo seções de FAQ, e investir em perfis falsos para interagir em comentários em sites e blogs com os links maliciosos”.

Dessa forma, impulsionam o alcance desses sites de phishing, “fazendo com que apareçam como primeira opção em mecanismos de buscas quando a vítima tentar localizar a página verdadeira”.

No próximo passo dessa campanha, a vítima é direcionada para sites que exigem diferentes opções para prosseguir com a ação, como o clássico login e senha.

No caso da Gemini, ao tentar o login a vítima é direcionada a uma página de autenticação de múltiplos fatores (MFA) e depois a um chat com um usuário que solicita confirmação de informações.

Já nos registros com a Metamask, foi identificada também a opção de importar uma carteira de criptomoeda, que exigirá a recuperação da “palavra secreta” de segurança. Todas as opções direcionam para páginas maliciosas que concluirão o roubo com sucesso.

A recomendação para não se tornar mais uma vítima deste cibercrime crescente é, em primeiro lugar, digitar diretamente no navegador a URL do site que será acessado e nunca inserir as credenciais após clicar em um link.

Para as empresas, os especialistas recomendam o uso de secure web gateway (SWG), capaz de detectar e bloquear phishing em tempo real.