A Check Point Software Technologies identificou uma campanha de phishing de grande escala que está a explorar diretamente plataformas SaaS legítimas, como Microsoft, Zoom, Amazon, PayPal e YouTube, para enganar utilizadores e organizações através de chamadas telefónicas fraudulentas.
PUBLICIDADE
Segundo a análise da Check Point Research, foram enviados cerca de 133.260 emails fraudulentos, afetando mais de 20.000 organizações, sem que as infraestruturas destas empresas tenham sido comprometidas. Rui Duro, Country Manager para Portugal da Check Point, alerta que “esta campanha demonstra que emails autenticados, bem formatados e provenientes de marcas de confiança já não podem ser considerados seguros por defeito”.
PUBLICIDADE
Ao contrário das campanhas tradicionais, que dependem de domínios falsos ou links maliciosos, esta operação utiliza funcionalidades legítimas das plataformas SaaS. Os emails partem de domínios legítimos, passam por todos os controlos de autenticação e apresentam uma formatação e linguagem idênticas às comunicações oficiais. Em vez de direcionar as vítimas para links maliciosos, as mensagens incentivam o contacto telefónico com números controlados pelos atacantes, transferindo a fase final do ataque para engenharia social por voz.
A investigação da Check Point identificou três formas principais de abuso: manipulação de notificações genéricas das plataformas, exploração de alertas da Microsoft, incluindo contas, subscrições, Entra ID e Power BI, e inserção de mensagens fraudulentas em convites legítimos do Amazon Business. Em todos os casos, as plataformas não foram comprometidas, sendo utilizadas de forma maliciosa funcionalidades legítimas.
O impacto desta campanha é transversal a diversos setores, afetando principalmente tecnologia, indústria, comércio B2B, educação, serviços financeiros e administração pública. Nos últimos seis meses, foram detetados mais de 648.000 emails de phishing baseados em SaaS, afetando 36.800 organizações, com maior incidência nos setores de tecnologia, indústria, educação, serviços financeiros e administração pública. Geograficamente, os Estados Unidos concentram a maioria dos casos, seguidos da Europa e da região Ásia-Pacífico.
A Check Point alerta que a legitimidade técnica de uma mensagem não garante segurança e recomenda que as organizações reavaliem pressupostos de confiança associados a emails autenticados, sensibilizem colaboradores para fraudes baseadas em chamadas telefónicas e adotem soluções de segurança que combinem inteligência artificial, análise comportamental e visibilidade contextual sobre comunicações em cloud. Rui Duro sublinha que “os atacantes estão a privilegiar a confiança herdada das plataformas cloud em vez de criar infraestruturas próprias, reduzindo drasticamente a probabilidade de deteção”.
À medida que os serviços SaaS continuam a dominar a comunicação empresarial, torna-se crítico reconhecer que mesmo emails aparentemente legítimos podem representar uma ameaça significativa à segurança das organizações.
