0
0
Os ciberatacantes usaram e abusaram do e-mail de muitas maneiras criativas e frutíferas no ano passado. Eles inundaram caixas de entrada com temido. Assumiu contas e manipulou a confiança das empresas em seus fornecedores. Mensagens maliciosas passadas através de verificações de validação padrão. Eles tratavam domínios como se fossem descartáveis; usando um domínio brevemente, em seguida, descartá-lo antes que as ferramentas de segurança poderiam bater-lo com uma má reputação.
Sim, foi um ano emocionante para ataques de e-mail. Mas quais ataques foram os mais legais de todos?
Dan Fein, diretor de produtos de segurança de e-mail da Darktrace, nos dá seus favoritos, detectados pela ferramenta de segurança de e-mail alimentada por IA por E-mail da Darktrace. Aqui estão os quatro primeiros recebendo essa honra duvidosa:
1. Escondidos na Neve
Esquiadores de Neve que esperam escapar da quarentena poderiam ser facilmente tentados por mensagens oferecendo ofertas para as encostas do Vail Resorts. E se assim for, eles podem ter se encontrado vítimas de um esquema inteligente de roubo de credenciais.
O link de phishing dentro da mensagem parecia enviar os usuários para o Vail Resorts e, em seguida, redirecioná-los para Snow.com, a empresa parceira legítima do resort e serviço de reservas. Mas não foi só isso.
Nos últimos 12 meses, houve mais de tudo na frente de violação de dados, exceto boas notícias.Trazido a você por Leitura Negra
Fein aponta para o parâmetro “p1” na URL. O agressor realmente enviou a vítima para uma página de login falsa em s-ay.xyz. Para apoiar ainda mais o disfarce, a página de login falsa foi pré-carregada com o endereço de e-mail da vítima no campo “nome de usuário”. E como a URL é tão longa, mesmo um usuário experiente em segurança que rolou obedientemente sobre o hiperlink para verificar seu destino antes de clicar provavelmente teria visto apenas uma URL truncada, nunca vendo o parâmetro suspeito.
“Isso passaria despercebido [pela maioria das ferramentas de segurança] porque vailresorts.com tem uma reputação limpa”, diz Fein. “Achamos interessante, porque se você olhar para este link de uma certa forma você pode detectar esse tipo de coisa. Você pode reconhecer que é um link incomum, porque há um redirecionamento oculto lá.”
2. Sneaking by SPF
“Sempre que vemos verificações de validação como SPF ou DKIM que dizem que esta mensagem está sendo enviada da infraestrutura, esperamos que ela seja enviada”, diz Fein, “então nossos clientes dizem ‘oh SPF passou, DKIM passou. Não é [esta mensagem] bom? E então pensamos ‘não.’ Você sempre quer colocar a guarda para cima.
Caso em questão: uma mensagem supostamente do departamento de TI da empresa-alvo, vinculando-se a um formulário do Microsoft Office. Ele pré-carregado o endereço de e-mail do usuário na página de login do Office 365. A mensagem passou por verificações de validação spf e DKIM.
No entanto, Darktrace detectou que provavelmente foi enviado de uma conta comprometida. (E não apenas porque a mensagem continha sintaxe estranha como a frase “Clique em Senha”).
“[Antígena procura] contexto”, diz Fein. Ele cita alguns exemplos de contexto potencialmente anômeo. “Então, de repente, o que normalmente vem do Outlook vem de um script Python. Basta olhar para os agentes de usuário de um e-mail; coisas que começam a parecer automatizadas. Ou a infraestrutura – embora esteja vindo do Outlook, talvez esteja sendo enviada de [um país inesperado].”
3. Um Link Apetitoso
Aqui está outro exemplo de uma mensagem que afirma ser do helpdesk de TI que não ajudou em nada. O atacante deslizou alguns caracteres não latinos para o nome do remetente. (Alguns invasores agora estão usando texto oculto no qual colocam caracteres invisíveis entre as letras de um e-mail para que ele não acione defesas de e-mail com frases como “helpdesk” ou “password expired”)
A mensagem em si era inócua, diz Fein. O documento anexado a essa mensagem era relativamente manso também. Mas um hiperlink dentro desse documento… isso era um problema. Ele se passou por um link para um serviço de reserva de restaurante online, mas na verdade foi malicioso.
Fein diz que o Darktrace pode executar uma série de ações direcionadas, dependendo da gravidade de um risco: redirecionar um link suspeito, cortar o link inteiramente, remover o anexo da mensagem ou bloquear a mensagem, por exemplo.
“Então, só porque um anexo tem um ‘algo’ suspeito nele não significa que você tem que segurar [o anexo] totalmente”, diz ele, “mas neste caso, ele fez.”
4. E-mail Gateway Spoof
Outro favorito do hit de Fein perto de casa para ele, porque o invasor falsificou uma empresa de segurança de e-mail. A mensagem veio de um endereço falso da Cisco Ironport e alegou conter um arquivo de arquivo.
Não havia nenhuma relação existente entre o remetente e o destinatário – atacar um contra esta mensagem –, mas outra anomalia também levantou alarmes. A coleção de beneficiários em si foi identificada pela IA de Darktrace como altamente incomum.
Como Fein explica, alguns grupos de usuários são mais propensos a estar em um segmento de mensagem juntos, e outros não; Espera-se que alguns recebam mensagens externas de remetentes desconhecidos, e outros não. Assim, se uma mensagem for enviada para um respingo aleatório de funcionários do departamento de recursos humanos, da equipe de desenvolvimento e outras linhas de negócios não relacionadas, por exemplo, a tecnologia da Darktrace tomará conhecimento.
Os ataques de e-mail que impressionaram (e angustiaram) Fein este ano são estes que usaram técnicas inteligentes para dar aos destinatários – e suas ferramentas de segurança – mais razões para confiar neles.
“Eles usam alguma empresa que você pode reconhecer. Ou reconhecer sua infraestrutura. … Ou você recebe um e-mail de alguém que você conhece e então você acha que está fazendo login para responder a ele”, diz ele. “Tudo isso só adiciona credibilidade ao fato de que o que você está prestes a fazer faz sentido.”
FONTE: DARK READING