Atacantes encontram novas maneiras de explorar e contornar defesas do Office 365

Views: 366
0 0
Read Time:3 Minute, 10 Second

Durante o período de seis meses, de março a agosto de 2020, mais de 925.000 e-mails maliciosos conseguiram contornar as defesas do Office 365 e os conhecidos gateways de e-mail seguro (SEGs), revela um estudo de Segurança da Área 1.

Como os criminosos contornam as defesas do Office 365

Os atacantes usam cada vez mais campanhas altamente sofisticadas e direcionadas, como o compromisso de e-mail de negócios, para evitar as defesas tradicionais de e-mail, que são baseadas em ameaças já conhecidas.

Os atacantes também costumam usar as próprias ferramentas e branding da Microsoft para contornar defesas legadas e autenticação de e-mail (DMARC, SPF, DKIM).

  • Em um exemplo em que um cliente colocou o Office 365 em camadas com um SEG, mais de 300.000 mensagens maliciosas ainda estavam perdidas
  • Houve um aumento constante nos ataques de BECdirecionados — incluindo BECs tipo 3 (baseado em aquisição de conta) e BEC tipo 4 (phishing da cadeia de suprimentos), que teriam somado vários bilhões de dólares em perdas potenciais, e
  • Remetentes falsificados e domínios recém-registrados foram responsáveis por 71,7% das ameaças de e-mail perdidas
  • Os meses de verão tiveram um aumento acentuado no phishing, à medida que os atacantes se aproveitavam da desinformação relacionada ao coronavírus e das transições remotas da força de trabalho.

Desde que a Microsoft revelou sua plataforma Office 365 baseada em nuvem em outubro de 2010, sua base de usuários continuou a crescer, agora ultrapassando 258 milhões de assentos comerciais pagos do Office 365.

Enquanto a Microsoft continua a fazer melhorias na segurança do Office 365 e pode até superar os melhores provedores antisspam e antivírus, os atores de ameaças cibernéticas evoluíram de acordo. Por exemplo, a Área 1 interceptou uma série de ferramentas de nuvem de coleta de phish de coleta de credenciais, como o Microsoft SharePoint e o Microsoft Planner .

Atacantes adotando suítes em nuvem para lançar campanhas de phishing

Como observado no Gartner 2020 Market Guide for Email Security ” À medida que as organizações se movem para o e-mail na nuvem, é mais fácil para os invasores atingir usuários com ataques de phishing se passando por telas de login para coletar credenciais. Em seguida, eles usam essas credenciais para lançar outros ataques baseados em aquisição de conta que podem incluir outras ferramentas de colaboração. As organizações precisam garantir que o e-mail interno e externo seja protegido, bem como ferramentas de colaboração que estão sendo usadas.”

“Millions of organizations have achieved immeasurable productivity and efficiency thanks to the cloud. However, it’s evident that attackers have also adopted cloud suites to launch productive, efficient phishing campaigns,” said Patrick Sweeney, CEO and president of Area 1 Security.

“It’s critical to proactively stay ahead of evolving cyberattacks with techniques that identify phishing threats as they’re being built — before they’ve been launched.”

Recommendations for effectively defending against cloud email threats

  • Zero-trust email: ​Adhere to a zero-trust-email approach, which should serve as a baseline for an email security strategy. All email, especially ongoing interactions with external partners and suppliers, should be considered areas of compromise.
  • Técnicas abrangentes de segurança de e-mail: Estes devem incluir modelos de IA e machine learning (ML), visão computacional, compreensão de linguagem natural (NLU) e análise de intenções, entre outros avanços.
  • Criando um gráfico social/parceiro automatizado para sua organização: Identifique suas organizações parceiras e realize a classificação universal de mensagens para entender as interações naturais que a organização tem com o resto do mundo.
  • Combinando dados de ameaças preventivas, análise de sentimento de mensagem e análise de contexto conversacional: Isso fornece um alto nível de precisão nas detecções maliciosas, especialmente nos casos em que um parceiro foi comprometido e se torna a fonte de ataques de phishing direcionados.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS