Um ativo phishing está se passando pelo Ministério do Interior para comprometer organizações do Reino Unido licenciadas para patrocinar trabalhadores e estudantes estrangeiros.
A sofisticada campanha, que imita de perto as comunicações oficiais do Ministério do Interior do Reino Unido e as páginas da web, visa comprometer as credenciais do Sistema de Gerenciamento de Patrocínio (SMS) dos titulares de licenças do patrocinador.
As credenciais comprometidas são usadas para facilitar uma série de esquemas elaborados de fraude de imigração, tentativas de extorsão e outros esquemas de monetização, de acordo com uma investigação da empresa de segurança cibernética Mimecast.
O mais elaborado deles envolve a criação de ofertas de emprego falsas e esquemas de patrocínio de vistos, com agentes de ameaças cobrando das vítimas entre £ 15.000 e £ 20.000 ($ 20.186- $ 26.914) por oportunidades de emprego inexistentes.
Os ataques têm como alvo organizações do Reino Unido que possuem licenças de patrocinadores em todas as indústrias e setores, com foco particular em empresas que gerenciam ativamente programas de patrocínio de vistos e usuários regulares do sistema SMS.
“Os agentes de ameaças demonstram uma compreensão avançada dos padrões de comunicação do governo e das expectativas do usuário dentro do sistema de imigração do Reino Unido”, observaram os pesquisadores.
Samantha Clarke, engenheira de pesquisa de ameaças da Mimecast, disse Segurança da informação que cerca de 8000 e-mails relacionados a esta campanha foram observados na primeira quinzena de julho de 2025. A campanha aumentou no início de agosto, com cerca de 2500 e-mails enviados nos primeiros seis dias do mês.
Em 10 de julho, o Ministério do Interior Emitidouma notificaçãono Sistema de Gerenciamento de Patrocínio (SMS), bem como comunicações diretas aos principais contatos e gestores orçamentais dos patrocinadores, alertando sobre golpes de phishing que podem comprometer a segurança da conta por SMS.
Organizações enviaram avisos falsos de home office
A campanha começa com as organizações-alvo recebendo e-mails contendo alertas urgentes sobre notificações por SMS ou alertas do sistema que exigem atenção imediata.
SMS é a ferramenta online usada pelos patrocinadores para gerenciar sua licença e cumprir seus deveres de notificar o Ministério do Interior sobre mudanças nas circunstâncias.
Esses e-mails contêm um link que direciona os usuários para páginas de login fraudulentas projetadas para solicitar que eles insiram credenciais de autenticação por SMS.
O Relatório Mimecast, publicado em 12 de agosto, destacou as linhas de assunto comuns usadas no e-mail inicial de phishing. Isso inclui ‘Uma nova mensagem foi postada em seu Sistema de Gerenciamento de Patrocínio’ e ‘Notificação de mensagem por SMS’.
Quando o link no e-mail inicial é clicado, o usuário é enviado primeiro para uma URL controlada por CAPTCHA, que atua como um mecanismo de filtragem. Eles são redirecionados para uma página de phishing que replica de perto a interface SMS autêntica.
Os pesquisadores disseram que essa replicação é obtida por meio da cópia direta do HTML da página oficial de login do SMS, hotlinking de ativos oficiais e alterações mínimas, mas críticas, no processo de envio do formulário.
As credenciais do usuário, uma vez inseridas, são enviadas para um script controlado pelo invasor em vez do sistema de autenticação legítimo.
Esquemas subsequentes de fraude e extorsão de imigração
Depois que os invasores capturam as credenciais do SMS, eles se envolvem em uma série de esquemas de monetização.
Esses incluem:
- Venda de acesso a contas comprometidas em fóruns da dark web
- Realização de esquemas de extorsão contra organizações afetadas
- Facilitar a emissão fraudulenta de Certificado de Patrocínio (CoS)
- Criação de ofertas de emprego falsas e esquemas de patrocínio de vistos por meio de documentos de visto aparentemente legítimos
A Mimecast aconselhou as organizações do Reino Unido que possuem licenças de patrocinadores a implantar ferramentas anti-phishing que possam detectar tentativas de falsificação de identidade do governo e padrões de URL suspeitos.
Além disso, as empresas devem implementar a reescrita de URL e sandboxing para analisar os links antes que a interação do usuário ocorra.
Crédito da imagem:James Copeland / Shutterstock.com