Conheça as táticas mais comuns para burlar a segurança nas caixas de entrada
Embora existam controles cada vez mais avançados, os cibercriminosos constantemente aprimoram suas técnicas para driblar a segurança dos sistemas utilizados pelas empresas. Afinal, como os cibercriminosos entram nos e-mails das corporações?
Através de ataques de phishing de credenciais, comprometimento de e-mails comerciais (BEC) e diferentes formas de malware que são constantemente disseminadas na Internet, os hackers fazem com que os usuários desavisados cliquem nas armadilhas sem ao menos desconfiar.
Entre outubro de 2018 e março de 2019, pesquisadores do Centro de Defesa de Phishing da empresa americana Cofense analisaram 31.429 e-mails maliciosos. Nesta pesquisa, divulgada pelo blog Information Week, foram detectados 23.195 ataques de phishing de credenciais. Este foi o tipo de ataque mais frequente, seguido pela entrega de malware (4.835), BEC (2.681) e fraudes (718). Táticas sutis como mudar tipos de arquivo ou usar URLs encurtadas, continuam sendo muito bem sucedidas.
Ataques de phishing são os preferidos dos hackers
“Continuamos a vê-los evoluir com ajustes simples”, diz o co-fundador da Cofense e CTO Aaron Higbee. Os e-mails de phishing de credenciais que usam páginas de login falsas são difíceis de serem interrompidos no gateway, porque muitas vezes a infraestrutura associada a eles não parece mal-intencionada.
Por exemplo, algumas campanhas enviam emails de locatários genuínos do Office 365 usando credenciais já comprometidas ou contas legítimas. Uma página de login falsa hospedada na infraestrutura da Microsoft é quase impossível de distinguir.
Os pesquisadores relatam que muitos gateways de e-mail seguros não examinam cada URL. Eles se concentram apenas no tipo de URL que as pessoas clicam. Com mais ataques de phishing aproveitando URLs de uso único, o risco corporativo aumenta. Os hackers só precisam de um conjunto de credenciais legítimas para invadir uma rede, e é por isso que o phishing com credenciais é uma técnica de ataque tão popular.
A adoção da nuvem está alterando o jogo para que os invasores consigam dados de login de funcionários. As empresas estão mudando a localização de suas páginas de login e, consequentemente, o acesso às credenciais da rede.
Os cibercriminosos entram nos e-mails por técnicas sutis de cibercrime
À medida que as organizações migram para os serviços de nuvem, os invasores vão atrás das credenciais desta nuvem”, diz Higbee. “Também vemos cibercriminosos usando cloud services populares como o SharePoint, OneDrive, Windows.net para hospedar kits de phishing. Quando os criminosos conseguem obter credenciais, eles podem fazer login no serviço hospedado como um usuário legítimo.”
É difícil para as organizações se defenderem contra ameaças aos sistemas baseados em nuvem porque nem sempre eles têm a mesma visibilidade para logs e infraestrutura do que os data centers.
Mais invasores estão usando tipos de arquivos diferentes e atípicos para burlar os controles de anexos de e-mail gateways. Os pesquisadores apontam como exemplo, quando o Windows 10 mudou a manipulação de arquivos para .ISO. Isso deu aos hackers uma oportunidade de se livrarem dos arquivos .ZIP ou .RAR, normalmente inspecionados por ferramentas de segurança.
Em abril de 2019, a Cofense detectou invasores renomeando arquivos .ISO para .IMG, para transmitirem malwares através de gateways seguros. “O gateway vê isso como um anexo aleatório, mas quando você faz o download do arquivo para o dispositivo, o Windows 10 o trata como um arquivo e o abre no Explorer, permitindo que a vítima clique no conteúdo”, diz Higbee. “Nada mudou no malware, apenas o nome da extensão do arquivo.”
Falsos arquivos .img e .pdf põem a segurança dos e-mails em risco
Há um desafio na defesa contra esses tipos de ameaças porque existem tipos de anexos legítimos que você não pode bloquear sem interromper os fluxos de tarefas diárias das empresas. “Vemos isso com arquivos PDF que incluem links para o sites maliciosos, que podem ser uma página de falsa login, onde é possível capturar credenciais”, acrescenta Higbee. As empresas simplesmente não podem bloquear totalmente esses tipos de arquivo.
A pesquisa também apontou que os cibercriminosos que enviaram malware através de anexos maliciosos demonstraram uma forte preferência (45%) por explorar a vulnerabilidade de corrupção de memória do Microsoft Office (CVE-2017-11882). Em anos anteriores, os hackers usaram maciçamente macros maliciosas, o que representou apenas 22% das táticas de entrega de malware da pesquisa atual.
Enfim, é realmente cada vez mais desafiador para as empresas conseguirem controlar como os cibercriminosos entram no e-mails corporativos. Cabe aos gestores promover a conscientização da equipe para que, embora as ameaças não possam ser totalmente controladas, ao menos sejam minimizadas.
Aproveite também para conferir no blog da Control F5 TI dicas de como você pode conscientizar seus funcionários a respeito da cibersegurança na sua empresa.