O phishing continua evoluindo
Novas formas de explorar o comportamento humano
O phishing, como qualquer tipo de ataque cibernético, explora o elo mais fraco. No entanto, ao contrário de muitos outros ataques, o phishing explora o comportamento humano em vez de vulnerabilidades técnicas. Esteja você reservando uma viagem, respondendo a um convite do Zoom ou simplesmente verificando e-mails, todos que estão on-line são um alvo.
Conforme descrito no último Relatório sobre Ameaças de Phishing, com base em dados de aproximadamente 13 bilhões de e-mails, os invasores concentram seus esforços em parecerem autênticos: eles tentam se passar por marcas que conhecemos e nas quais confiamos, e exploram a confiança nas interações normais do “curso dos negócios”.
Os invasores tornaram-se implacáveis quando se trata de criar mensagens com aparência autêntica para escapar da segurança comum de e-mail. Aqui estão várias tendências importantes sobre as táticas específicas que estão usando, juntamente com estratégias que as organizações podem usar para evitar que essas táticas causem uma violação.
Não clique aqui, ali, ou em qualquer lugar
Links enganosos são a categoria número 1 de ameaças de phishing, aparecendo em 35,6% das detecções de ameaças. Como o texto de exibição de um link (hipertexto) em HTML pode ser definido arbitrariamente, os invasores podem fazer com que um URL pareça estar vinculado a um site benigno quando, na verdade, é malicioso.
A maioria das organizações implementou alguma forma de treinamento de conscientização sobre segurança cibernética para lembrar seus usuários de estarem cientes dos links suspeitos em e-mails de trabalho. No entanto, os invasores estão cada vez mais lançando suas iscas de phishing em canais onde os usuários são menos cautelosos sobre onde clicam.
Em uma abordagem chamada phishing “multicanal”, os ataques podem começar com um e-mail, mas continuar com SMS/mensagens de texto, mensagens instantâneas, redes sociais, serviços de colaboração em nuvem e outras ferramentas ligadas à internet que normalmente não são protegidas por controles anti-phishing.
Por exemplo, uma campanha de phishing multicanal envolveu o altamente divulgado ataque “0ktapus”, visando mais de 130 organizações. Os indivíduos receberam mensagens de texto redirecionando-os para um site de phishing que se fazia passar pelo popular serviço de logon único (SSO), Okta. No final das contas, quase 10.000 credenciais foram roubadas.
Em outra campanha visando vários canais de comunicação, os invasores fizeram phishing com um funcionário da Activision e depois roubaram dados confidenciais por meio dos canais internos do Slack da empresa.
De acordo com uma pesquisa global encomendada pela Cloudflare e realizada pela Forrester Consulting*:
89% dos tomadores de decisão de segurança estão preocupados com ameaças de phishing multicanal.
8 em cada 10 disseram que sua empresa está exposta em vários canais, como ferramentas de colaboração/produtividade de mensagens instantâneas/nuvem, dispositivos móveis/SMS e mídias sociais.
No entanto, apenas 1 em cada 4 entrevistados sentiu que a sua empresa está completamente preparada para ameaças de phishing em vários canais.
Os invasores ainda usam links porque mesmo os funcionários (e soluções de segurança) mais “treinados” não conseguem detectar links maliciosos com precisão 100% das vezes. Se apenas um usuário clicar no link errado pode levar ao roubo de credenciais, malware e perdas financeiras significativas.
O que nos leva a outra tendência importante de phishing: e-mails maliciosos que evitam (ou até utilizam) serviços que deveriam autenticar a identidade do remetente.
Os invasores “passam” nas verificações de segurança
Os phishers se passam por qualquer empresa ou marca reconhecível para fazer você clicar. Segundo a pesquisa, os invasores se passaram por quase 1.000 organizações diferentes, como a Microsoft e outras marcas com as quais as pessoas interagem frequentemente, para realizar seu trabalho. Salesforce, Box e Zoom, estão no topo da lista.
Essa tática, conhecida como falsificação da marca, é realizada com uma grande variedade de técnicas, incluindo:
Falsificação de nome de exibição, em que o nome de exibição do remetente nos cabeçalhos de e-mail visíveis inclui um nome de marca conhecido ou legítimo.
Representação de domínio ou falsificação de domínio, em que o invasor registra um domínio que se parece com o domínio da marca falsificada, mas o utiliza para enviar mensagens de phishing.
Domínios recém-registrados que ainda não foram classificados como maliciosos. (Na campanha 0ktapus, os invasores aproveitaram um domínio que havia sido registrado menos de uma hora antes do ataque.)
Os padrões de autenticação de e-mail (SPF, DKIM e DMARC) são frequentemente apresentados como uma defesa importante contra a falsificação da marca. No entanto, esses métodos têm limitações. Na verdade, a pesquisa descobriu que a maioria, 89%, das ameaças por e-mail “passaram” nas verificações de SPF, DKIM e/ou DMARC.
Há muitos motivos pelos quais isso pode acontecer. Por exemplo, pesquisadores universitários descreveram recentemente falhas no encaminhamento de e-mail que poderiam permitir que invasores explorassem o Microsoft Outlook.
Outras limitações da autenticação de e-mail incluem:
Falta de inspeção de conteúdo: assim como enviar uma carta por correio registrado, a autenticação de e-mail garante a entrega; ela não verifica se o conteúdo de uma mensagem contém URLs, anexos ou conteúdo malicioso.
Proteção limitada contra domínios semelhantes: a autenticação de e-mail não vai alertar sobre um nome de domínio semelhante ou primo registrado corretamente; por exemplo, uma mensagem enviada de nome@examp1e.com em vez de nome@example.com.
Complexidade de configuração e manutenção contínua: se sua configuração for muito rígida, e-mails legítimos serão rejeitados ou marcados como spam. Se for muito relaxada, seu domínio poderá ser utilizado indevidamente para falsificação de e-mail e phishing.
O phishing é muito dinâmico para confiar em remetentes “seguros”
Como visto na falha da autenticação de e-mail em impedir a falsificação da marca, os invasores se adaptam. Se ontem enviaram mensagens fraudulentas sobre a COVID-19 (a Organização Mundial de Saúde foi a segunda organização mais falsificada no ano passado), hoje, sobre esquemas de reembolso de empréstimos estudantis, então o que podem conter as campanhas de phishing de amanhã?
O grande desafio é que os ataques de phishing mais caros são altamente direcionados e de baixo volume. Eles não são facilmente identificados por gateways de e-mail seguros (SEGs) reativos que procuram ameaças “conhecidas”.
Por exemplo, o comprometimento de email empresarial (BEC), um tipo de ataque de engenharia social que não contém anexos maliciosos ou malware, é adaptado a um destinatário específico em uma organização. O invasor pode se passar por alguém para quem a vítima envia mensagens regularmente ou pode “sequestrar” um tópico de e-mail legítimo existente.
O BEC custou a empresas e indivíduos US$ 50 bilhões em todo o mundo. As perdas por BEC agora superam até mesmo as perdas financeiras relacionadas ao ransomware. Aqui estão alguns exemplos que mostram como os invasores primeiro obtiveram um conhecimento profundo das operações da vítima (e em quem confiavam) para lançar com sucesso essas campanhas de BEC:
Os invasores monitoraram os e-mails de (e depois se passaram por) um COO e fornecedores do sistema de escolas públicas de Connecticut e roubaram mais de US$ 6 milhões no início deste ano. (Saiba mais sobre esta forma complexa de BEC, conhecida como comprometimento de e-mail do fornecedor).
Uma série de esquemas de BEC enganaram os programas estaduais Medicaid, os prestadores de serviços administrativos do Medicare e as seguradoras de saúde privadas, levando-os a desviar mais de US$ 4,7 milhões para os invasores, em vez de para as contas bancárias dos hospitais pretendidos.
Em 2022, invasores fingiram ser quatro empresas (falsas) e fraudaram um fabricante de alimentos em remessas avaliadas em US$ 600 mil. Este tipo de incidente se tornou tão comum que o FBI, o Departamento de Agricultura dos EUA (USDA) e a Food and Drug Administration (FDA) emitiram um comunicado conjunto para que as empresas “previnam, detectem e respondam aos esquemas de roubo de produtos habilitados pelo BEC”. (Estima-se que alimentos roubados ou “falsificados” custem à economia global até US$ 40 bilhões por ano.)
Campanhas de phishing exclusivamente específicas vão enganar um SEG tradicional.Talvez seja por isso que os analistas da Forrester proclamaram em um blog sobre invasores que exploram uma vulnerabilidade do Barracuda Email Security Gateway: “2023 ligou e disse que não quer seus dispositivos de segurança de e-mail de volta”.
A Forrester continua recomendando migrar a segurança de e-mail para a nuvem, por vários motivos, incluindo:
Atualizações mais rápidas entregues automaticamente
Arquitetura mais simples
Escalabilidade para atender à demanda
Nenhum hardware para se preocupar ou substituir
Remediação e mitigação mais fáceis
Substituir um SEG pela segurança de e-mail em nuvem é a etapa mais importante para evitar phishing. Mas, assim como os invasores utilizam múltiplos canais para lançar suas campanhas, as empresas também devem garantir que dispõem de múltiplas camadas de proteção contra phishing.
O antiphishing em camadas é essencial, especialmente quando mensagens, colaboração em nuvem e aplicativos SaaS em vários dispositivos representam riscos. Como observa Jess Burn, analista sênior da Forrester: “As proteções desenvolvidas para a caixa de entrada de e-mail devem se estender a esses ambientes e a todos os fluxos de trabalho diários de seus funcionários”. Ela acrescenta: “Ao selecionar ou renovar um fornecedor de segurança de e-mail empresarial, entenda qual está entregando ou priorizando uma abordagem mais abrangente para proteger todas as formas como seu pessoal trabalha.”
O poder de uma abordagem em camadas para impedir ameaças futuras
Mesmo que uma mensagem tenha passado pela autenticação de e-mail, seja originária de um domínio respeitável e seja de um remetente “conhecido”, ela não deve ser inerentemente confiável. Em vez disso, prevenir um possível ataque de phishing requer um modelo de segurança Zero Trust que garanta que todo o tráfego do usuário seja verificado, filtrado, inspecionado e isolado de ameaças da internet.
O Cloudflare Zero Trust protege de forma abrangente contra ameaças de phishing e inclui:
Integração da segurança de e-mail em nuvem com o isolamento do navegador remoto (RBI) para isolar automaticamente links de e-mail suspeitos; isso evita que os dispositivos dos usuários sejam expostos a conteúdo malicioso da web.
Verificar proativamente a internet em busca de infraestrutura, fontes e mecanismos de distribuição de invasores para identificar e interromper a infraestrutura de phishing dias antes do lançamento das campanhas de phishing.
Detecção de hostnames criados especificamente para phishing de marcas legítimas; isso funciona analisando os trilhões de consultas de DNS diárias.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
*Fonte: Forrester Opportunity Snapshot: A Custom Study Commissioned by Cloudflare, “Leverage Zero Trust to Combat Multichannel Phishing Threats,” maio de 2023.
Saiba mais sobre esse assunto
Para saber mais sobre as ameaças modernas de phishing que enganam as defesas comuns de segurança de e-mail, obtenha o relatório mais recente sobre ameaças de phishing!
Principais conclusões
Após ler este artigo, você entenderá:
Os invasores estão falsificando marcas nas quais confiamos, parecendo autênticos
A evolução para o phishing multicanal
Como a migração para a segurança de e-mail em nuvem é a etapa mais importante para evitar phishing
O papel que o Zero Trust tem na proteção da empresa moderna