Como os cibercriminosos jogam o jogo de domínio

Views: 284
0 0
Read Time:7 Minute, 47 Second

E por que as ferramentas de IA vão torná-lo menos vulnerável

Ferramentas convencionais de segurança de e-mail estão perdendo a batalha contra ataques de phishing. A causa? Em vez de registrar um punhado de domínios para realizar suas campanhas de phishing, muitos cibercriminosos agora os compram aos milhares. Essa abordagem torna mais difícil para as ferramentas tradicionais de proteção de e-mail identificar e-mails de phishing entre o ‘ruído’. Graças aos serviços de registro de domínio em massa, spammers maliciosos podem derrubar o saldo a seu favor através de volume absoluto.

Os blocklists de domínio têm sido tradicionalmente um dos ativos mais importantes na guerra contra phishing e spam. Se um domínio estiver em uma lista de bloqueio, então há uma alta probabilidade de que ele tenha sido usado em uma campanha maliciosa, como ransomware ou phishing credencial no passado. O processo exato para bloquear um domínio é muitas vezes opaco, mas é um processo gradual envolvendo uma reputação mensurável para cada domínio que muda ao longo do tempo.

Fatores como a idade de um domínio, seus links para endereços IP específicos e seu uso conhecido em e-mails maliciosos afetarão sua posição. Os organizadores do Blocklist pesquisam domínios através de relatórios de campanhas maliciosas, e também através de potes de mel que aspiram e analisam e-mails maliciosos. Existem muitos desses blocklists. O Spamhaus executa o blocklist de domínio (DBL). Outras organizações como PhishTank, Stopbadware, Anti-Phishing Working Group e SURBL listam domínios de má reputação.

Até agora, tudo bem, mas vários desenvolvimentos tornaram mais difícil construir e usar blocklists. Um deles, bizarramente, era o GDPR. Isso fez com que a ICANN, a organização responsável pelo governo dos registradores de domínio, introduzisse uma Especificação Temporária (‘especificação temporária’ que redigiu grande parte dos dados que normalmente apareceriam em uma solicitação do WHOIS. Os pesquisadores precisavam desse dado para ajudá-los a pesquisar os maus atores por trás de domínios maliciosos. Essa especificação temporária expirou desde então, mas sua substituição proposta deixou o “sistema Whois fraturado e inadequado para o propósito“, de acordo com Fabricio Vayra, advogado de propriedade intelectual do escritório de advocacia de Seattle Perkins Coie. “O mundo agora está quase completamente sem uma ferramenta necessária para proteger contra abusos online e salvaguardar direitos importantes”, escreve.

O crescimento do registro em massa em massa

O registro rápido em massa é o outro problema. Tradicionalmente, você usaria um formulário web para registrar um domínio, o que significa que você faria apenas alguns deles de cada vez. Em seguida, os registradores introduziram serviços em massa. Em vez de um formulário web, você carregaria um arquivo com uma lista de nomes de domínio solicitados ou tiraria proveito da ferramenta de composição de nomes do registrador, o que ajudaria você a chegar a muitas variações diferentes de nomes de domínio. Alguns registradores até permitem que as empresas registrem domínios em massa automaticamente usando uma interface de programação de aplicativos (API).

Existem alguns casos de uso para este tipo de registro em massa. Uma empresa com medo de violação de marca pode querer registrar um domínio com todas as variações concebíveis em seu nome para impedir que os phishers direcionem seus clientes. Em muitos casos, porém, os criminosos usam essas ferramentas para seus próprios propósitos nefastos. Um relatório sobre abuso de registro de domínio em massa da consultoria de tecnologia Interisle encontrou uma correlação acentuada entre domínios registrados em massa e campanhas on-line maliciosas. Em alguns casos, esses domínios não aparecem em listas de bloqueio por meses, sugerindo que alguns criminosos armazenam domínios para uso ao longo do tempo.

Essa capacidade só se tornará mais importante à medida que os criminosos continuarem a explorar novos gTLDs. O registro em massa já era ruim o suficiente quando a lista de gTLDs era mais limitada, mas a abertura do namespace pela ICAAN também criou novas oportunidades para inscritos em massa maliciosos. O relatório de Interisle encontrou gTLDs como . Tóquio e .cloud são fortemente abusadas. O “índice de maldade” spamhaus para domínios .cloud foi de 26,4%, quase sete vezes o 3,9% do .com. . Os principais domínios apresentaram um índice de maldade quase nove vezes maior do que o .com.

O custo de registro desses domínios é ridiculamente baixo. O relatório da Interisle constatou que os registros gTLD podem custar menos de US$ 1, e em alguns casos os preços promocionais o diminuem para um centavo por domínio.

Esse baixo custo de registro de domínio reduz o custo global de oportunidade para crimes cibernéticos. Spamhaus observa que os kits de ransomware como serviço (RaaS) geralmente saem por apenas US$ 39 on-line, enquanto os kits de phishing são baixados no GitHub. Você pode ensinar a si mesmo como executar uma campanha de malware fora do seu porão no YouTube. A Interisle diz que, consequentemente, o ransomware pode gerar lucros de menos de uma dúzia de vítimas (e muitas campanhas têm como alvo com sucesso muito mais do que isso).

Por que o registro de domínio em massa funciona

O registro de domínio em massa é o sistema perfeito de armamento para cibercriminosos. Permite que eles pisem levemente, e rapidamente. Imagine registrar um domínio e usá-lo em uma campanha que tem como alvo milhares de vítimas. Eventualmente, alguém vai denunciar o spam ou ele vai ficar preso em um pote de mel. Quanto mais relatórios, maior a probabilidade de sua reputação cair, tornando-a ineficaz. Mas um criminoso com milhares de domínios no bolso pode usar muitos domínios em uma única campanha, cada um visando um número menor de usuários. Essa abordagem, conhecida como snowshoeing, ajuda a manter os atacantes sob o radar.

Os inscritos em massa também têm velocidade ao seu lado. Como eles têm tantos domínios, eles podem torná-los descartáveis, usando-os uma vez e depois descartando-os antes que eles apareçam em uma lista de bloqueio. Assim, os cibercriminosos adoram quando um registrador de domínio em massa oferece um desconto no primeiro ano para registro de domínio – eles recebem um acordo em um domínio que eles só iriam usar uma vez de qualquer maneira. O registro de domínio em massa também dá aos atacantes uma vantagem como arma na forma de guerra assimétrica. Um atacante só precisa ter sucesso uma vez com um e-mail para obter uma posição na infraestrutura do defensor. Por outro lado, um defensor precisa ganhar o tempo todo. Quanto mais domínios um invasor tem, mais provável é que um deles entre e infecte um alvo.

Mudando as regras de engajamento

A ICANN e os registradores de domínio em massa precisam se recompor. Mas é claro que isso afetaria o resultado final da indústria de domínios – então não segure a respiração por muito tempo. No caso improvável de que eles façam a coisa certa no futuro previsível, o problema do nome de domínio ainda continuará vivo, embora em menor escala. Então, quais são as ferramentas apropriadas para enfrentar esse problema de segurança? As ferramentas legados só vão piorar na detecção de e-mails maliciosos porque dependem de um rígido conjunto de regras. A abordagem baseada em regras limita o que eles podem assistir. Eles só podem processar tantos pontos de dados sobre um e-mail usando essa abordagem antes que tudo se torne muito complexo e desorganizado – é por isso que eles têm que confiar em blocklists.

No entanto, verificar endereços e domínios IP contra essas listas não é mais suficiente em um ambiente onde os volumes de domínios maliciosos aumentaram exponencialmente e onde um ecossistema de cibersegurança relativamente lento ainda leva tempo para detectar domínios ruins. Em vez disso, empresas como a Darktrace estão aplicando um novo modelo baseado em IA para detectar e-mails maliciosos. É preciso uma visão mais ampla e holística de todo o cenário de e-mail de uma organização. Em vez de procurar apenas e-mails que se encaixem em um padrão ruim conhecido e arriscar um falso negativo, ele procura o que é normal e, em seguida, observa coisas que se desviam disso.

A tecnologia de segurança de e-mail de IA analisa centenas de pontos de dados a mais do que os scanners de e-mail legados tradicionais podem processar. Essas métricas são frequentemente nuances, examinando a semelhança visual entre os domínios, e se o destinatário (ou o negócio como um todo) já recebeu um e-mail desse domínio antes, ou um e-mail contendo-o no texto do corpo.

Essas ferramentas novas e sofisticadas não apenas comparam essas centenas de métricas com uma lista. Na maioria dos casos, tal lista não existe. Em vez disso, uma mistura de técnicas supervisionadas e não supervisionadas de aprendizado de máquina analisa todo o histórico de e-mail e eventos de rede de uma organização para estabelecer uma linha de base de normalidade para toda a organização e para destinatários individuais. A IA então olha para os e-mails recebidos para ver o quanto eles se desviam desta linha de base.

Esta nova abordagem impulsionada por IA é nossa melhor chance de reverter a vantagem, tirando-a do atacante e dando ao defensor a vantagem. O defensor não precisa mais tentar igualar indicadores de compromisso em constante evolução contra uma lista constantemente desatualizada. Em vez disso, o scanner procura coisas que não são normais. Isso cria segurança por padrão.

FONTE: THE REGISTER

POSTS RELACIONADOS