0
0
Para contornar tecnologias antiphishing, os malfeitores podem usar provedores de serviços de e-mail legítimos, ou ESPs — mas letras perigosas não são imparáveis.
Golpistas têm usado vários truques ao longo dos anos para contornar tecnologias antiphishing. Outro esquema com alta taxa de sucesso para fornecer links de phishing para alvos é usar serviços de marketing de e-mail, também conhecidos como provedores de serviços de e-mail (ESPs) — empresas especializadas em fornecer boletins informativos de e-mail — para enviar mensagens. De acordo com as estatísticas que obtivemos de nossas soluções, o método está ganhando força.
Por que o phishing baseado em ESP funciona
As empresas que são sérias sobre ameaças de e-mail escaneiam completamente todos os e-mails — com mecanismos antivírus, antifismas e antispam — antes de permitir que as mensagens cheguem às caixas de entrada dos usuários. Os motores não apenas digitalizam conteúdo de mensagens, cabeçalhos e links, mas também verificam a reputação do remetente e de quaisquer sites vinculados. Veredictos de risco são baseados em uma combinação desses fatores. Por exemplo, se um envio em massa vem de um remetente desconhecido, parece suspeito, enviando uma bandeira vermelha para algoritmos de segurança.
Os atacantes encontraram uma solução alternativa, no entanto: enviar e-mails em nome de uma entidade confiável. Os serviços de marketing por e-mail, que fornecem gerenciamento de newsletters de ponta a ponta, preenchem essa função perfeitamente. Eles são conhecidos; muitos fornecedores de soluções de segurança permitem que seus endereços IP estejam por padrão; e alguns até ignoram cheques em cartas enviadas através deles.
Como os ESPs são explorados
O principal vetor de ataque é óbvio: é phishing disfarçado como um e-mail legítimo. Essencialmente, os cibercriminosos tornam-se clientes do serviço-alvo, geralmente comprando a assinatura mínima (qualquer coisa mais não faria muito sentido, especialmente dado que eles podem esperar ser identificados e bloqueados rapidamente).
Mas existe uma opção mais exótica: usar o ESP como um host URL. Sob este esquema, o boletim é enviado através da própria infraestrutura dos atacantes. Por exemplo, os cibercriminosos podem criar uma campanha de teste que contenha uma URL de phishing e enviá-la para si mesmos como uma prévia. O ESP cria um proxy para essa URL e, em seguida, os cibercriminosos simplesmente tomam a URL proxy para seu boletim informativo de phishing. Outra opção para os golpistas é criar um site de phishing que parece ser um modelo de e-mail e fornecer um link direto para ele. Mas isso acontece com menos frequência.
De qualquer forma, a nova URL proxy agora tem uma reputação positiva, por isso não será bloqueada; e o ESP, que não lida com o envio, não vê nada de errado e não bloqueia seu “cliente” — pelo menos, não até que eles comecem a receber reclamações. Às vezes, tais esquemas até desempenham um papel no spear-phishing.
O que os ESPs pensam?
Sem surpresa, os ESPs não estão pulando de alegria sobre ser ferramentas para cibercriminosos. A maioria deles tem suas próprias tecnologias de segurança que digitalizam o conteúdo da mensagem e os links que passam por seus servidores, e quase todos fornecem orientação para qualquer pessoa que encontre phishing através de seu site.
Portanto, os atacantes tentam manter os ESPs calmos, também. Por exemplo, usar um provedor para proxies tende a Atraso links de phishing, portanto, no momento da criação, links em mensagens de teste parecem legítimos; só mais tarde eles se tornam maliciosos.
O que fazer
Em muitos casos, os e-mails em massa são enviados para funcionários da empresa cujos endereços são públicos — e até mesmo os mais vigilantes entre nós perdem o e-mail ocasionalmente suspeito ou malicioso e clicam em algo que não deveríamos. Para proteger os funcionários contra potenciais ataques de phishing provenientes de um serviço de marketing por e-mail, recomendamos o seguinte:
- Instrua os funcionários a nunca abrirem e-mails marcados como “envio em massa” a menos que eles se inscrevam na lista de discussão específica em questão. É improvável que essas mensagens sejam de importância urgente — geralmente são publicidade intrusiva na melhor das hipóteses.
- Use soluções de segurança robustas que digitalizam completamente todos os e-mails recebidos usando algoritmos heurísticos.
FONTE: KASPERSKY