0
0
Recentemente recebi um e-mail interessante de um negócio com o qual minha empresa trabalhou. O conteúdo da mensagem era supostamente um fax eletrônico. Eu sabia que o e-mail era suspeito apenas baseado em como o fax eletrônico foi tratado. Nossa firma tem um número de fax separado e conhecido. Normalmente, a única vez que faxes eletrônicos são enviados para caixas de entrada é quando instruímos alguém a fazê-lo.
Quando respondi ao e-mail, ficou claro que o invasor não só tinha assumido o controle do servidor de e-mail da empresa, mas havia criado regras automáticas de e-mail para responder dizendo que o e-mail era legítimo e que eu deveria abrir o arquivo e seguir as instruções.
Como o e-mail continha apenas links e não tinha nenhum conteúdo malicioso direto, vários funcionários receberam. Não só o e-mail passou por todos os meus filtros de spam, mas a mensagem foi configurada com regras automáticas de e-mail para permitir uma resposta a qualquer correspondência recebida pela conta. Este é um caso clássico de compromisso de e-mail comercial (BEC).
De acordo com o Internet Crime Complaint Center (IC3),os esquemas do BEC resultaram em mais de US$ 1,7 bilhão em perdas mundiais em 2019. A Divisão Cibernética do FBI alertou recentemente sobre o BEC e instou as organizações a revisar suas regras de encaminhamento e ofereceu essas 14 recomendações:
1. Certifique-se de que os clientes de desktop e e-mail da Web executem a mesma versão
Manter os clientes de desktop e e-mail da Web atualizados evita problemas com sincronização e atualizações. A falta de sincronização entre a área de trabalho e a web pode permitir que um invasor coloque regras que não estão expostas nos clientes da área de trabalho. Assim, a forma de ataque não é perceptível.
2. Desconfie das alterações de endereço de conta de e-mail de última hora
No meu caso da conta de e-mail hackeada, a pessoa com quem eu havia correspondido anteriormente e agora estava sendo usada em um ataque de phishing tinha atualizado recentemente o nome de domínio e a plataforma de e-mail de sua empresa. O processo de migração tornou o servidor de correio aberto a ataques. Se de repente você receber um e-mail de um fornecedor sobre uma questão financeira e o endereço de e-mail tiver sido alterado, ligue para eles e solicite a verificação do endereço de e-mail.
3. Verifique endereços de e-mail para pequenas alterações
Pequenas alterações podem fazer com que endereços de e-mail fraudulentos pareçam legítimos, assemelhando-se aos nomes reais dos clientes. A letra “l” é um dos piores caracteres para usar em um endereço de e-mail. Isso é um “l” minúsculo ou o número “1”? Dependendo da fonte usada, eles podem ser indistinguíveis. Usei o Courier New tanto para o “l” quanto para o “1” e é extremamente difícil dizer a diferença entre eles. Os atacantes geralmente usam este truque de fonte.
4. Habilite a autenticação de vários fatores para todas as contas de e-mail
Não posso enfatizar isso o suficiente: a autenticação multifatorial (MFA) garante que os atacantes devem ter outra coisa — telefone, chave, dispositivo, fob, aplicativo de autenticação — em sua posse para acessar seu e-mail.
5. Proibir o encaminhamento automático de e-mails para endereços externos
Em muitos compromissos de e-mail, as regras de encaminhamento só podem ser vistas em aplicativos web e não nos clientes de e-mail de desktop. O encaminhamento de e-mails é tão difundido que a Microsoft até bloqueou o encaminhamento de e-mails de saída automaticamente no Microsoft 365. Se você já havia configurado regras de encaminhamento automático, revise sua configuração novamente para garantir que elas estejam funcionando como você espera.
6. Monitore o servidor email exchange para alterações
Faça verificações frequentes para alterações na configuração e regras personalizadas para contas específicas. Crie regras que o alertem quando houver alterações para garantir que seu sistema esteja bem protegido. O gerenciamento de mudanças em qualquer organização de tamanho deve ser um processo bem definido e não acontecer sem querer. É sábio realizar o processo de gerenciamento de mudanças de forma agendada com processos documentados.
7. Diferenças de bandeira em endereços de e-mail “responder” e “de”
Crie uma regra para sinalizar comunicações de e-mail onde o endereço de e-mail “responder” difere do endereço de e-mail “de” Configure outra bandeira para quando a mensagem externa vem do seu nome de domínio, indicando que um invasor está tentando enganar os usuários para que pensem que o e-mail é de dentro do domínio. Você também pode configurar o DKIM para rejeitar o e-mail que não corresponde ao domínio do servidor de e-mail originário.
8. Adicione um banner às mensagens vindas de fora da sua organização
Alertar os usuários sobre a origem de uma mensagem é uma configuração normal que muitas empresas usam. Mesmo com o aviso muitos usuários ainda clicam em links. Considere a educação do usuário final sobre como os e-mails serão e o que esperar.
9. Revise o uso de protocolos de e-mail legados
Considere a necessidade de protocolos de e-mail legados, como POP, IMAP e SMTP, que os atacantes podem usar para contornar o MFA. Protocolos antigos podem ser facilmente atacados e hackeados. Muitos de nós reutilizamos credenciais em várias plataformas. Então, é fácil para um invasor usar um banco de dados de credenciais roubadas e tentar entrar em sistemas com essas credenciais reutilizadas.
10. Registre e retenha alterações no login e configurações da caixa de correio por pelo menos 90 dias
O registro é muitas vezes negligenciado como uma ferramenta de segurança. Quando você percebe que algo aconteceu, é tarde demais para configurar auditoria e registro. Avalie suas opções para retirar os registros de seus servidores de e-mail e certifique-se de armazená-los em outro lugar. Você pode usar serviços como Splunk para encaminhar e armazenar arquivos de log.
11. Habilite recursos de segurança que bloqueiam e-mails maliciosos
Você está usando recursos que você já tem que bloquear phishing e spoofing de e-mail? Muitas vezes compramos produtos de segurança adicionais para servidores de e-mail e não os configuramos completamente. Para o Office 365 recomendo seguir o guia de práticas recomendadas do site ITpromentor.
12. Incentivar os funcionários a contestar pedidos de pagamento suspeitos
Os funcionários devem solicitar esclarecimentos de pedidos de pagamento suspeitos da administração antes de autorizar transações. Fomos treinados para cooperar e ajudar o máximo que pudermos, mas essa característica pode nos tornar abertos a phishing e truques. Fazer backup de processos eletrônicos com confirmação antiquada, como pegar o telefone e ligar para confirmar a quantidade e os processos de transferência.
13. Configure alertas para comportamento suspeito no e-mail
Se você usar o Office 365 ou o Microsoft 365, você pode configurar alertas para comportamento suspeito no e-mail. Revise se você precisa alterar as licenças para ter esses alertas, mas pode valer a pena para algumas organizações.
14. Denunciar fraude às autoridades
Denuncie imediatamente qualquer fraude on-line ou atividade do BEC para o Centro de Queixas de Crimes na Internet. Certifique-se de que as autoridades saibam que as atividades estão acontecendo. Mesmo que seu caso específico não possa ser corrigido, as autoridades podem muitas vezes olhar para padrões e obter mais insights a partir de vários relatórios. Nenhum caso BEC é muito pequeno para ser negligenciado.
FONTE: CSO ONLINE