Como mensagens de phishing conseguem atravessar filtros de e-mail

Views: 426
0 0
Read Time:6 Minute, 9 Second

Por David Balaban

Phishing é uma técnica maliciosa transmitida por e-mail que visa obter credenciais sensíveis dos usuários ou espalhar malware. Essa prática está há anos na lista das principais ameaças cibernéticas para indivíduos e empresas. De acordo com o último Relatório de Tendências de Atividades de Phishing da APWG, o número total de ataques de phishing identificados no primeiro trimestre de 2024 ultrapassou 963.000. O valor médio de transferência bancária solicitado em ataques de comprometimento de e-mail corporativo (BEC) durante esse período chegou a US$ 84.000, mostrando um aumento de 50% em comparação com o trimestre anterior.

Com essas estatísticas impressionantes em mente, essa fraude está entre as fortalezas da economia global do cibercrime. Não é surpresa que existam muitas empresas de segurança cuja área de especialização seja limitada a serviços anti-phishing que evitam que e-mails fraudulentos cheguem às caixas de entrada de seus clientes. Como a organização dessas campanhas está se tornando mais difícil para os criminosos, eles estão desenvolvendo vetores de ataque mais sofisticados que contornam as defesas convencionais.

Phishers pensando fora da caixa

Atores mal-intencionados utilizam algumas técnicas eficazes de evasão para garantir que suas mensagens enganosas cheguem ao destino. Aqui estão algumas estratégias reais usadas para obscurecer más intenções e contornar as ferramentas automatizadas de proteção.

Ataques “vishing” híbridos ganhando força

Phishing por voz, ou vishing, tornou-se um golpe eficaz de engenharia social ao longo dos anos. O fato de a manipulação ocorrer por telefone favorece os fraudadores, pois escapa do radar dos controles de segurança tradicionais. O ponto fraco é a alta dependência de fatores como chamadas frias, que muitas pessoas ignoram, reduzindo a taxa de sucesso desses golpes.

Na tentativa de fechar essa lacuna, os criminosos criaram um esquema em várias etapas que combina vishing e e-mails enganosos. A ideia é contatar uma possível vítima inicialmente com um e-mail isca que contém um número de telefone. Essas mensagens geralmente transmitem urgência, afirmando que o destinatário pode ser bloqueado de sua conta bancária ou que uma transação financeira suspeita foi realizada sem o seu consentimento.

O usuário é instruído a ligar para o número especificado no e-mail para resolver o problema. No entanto, em vez de fornecer assistência, o golpista do outro lado tentará obter informações sensíveis. O e-mail de phishing original não contém anexos ou links suspeitos, o que o faz parecer normal quando inspecionado por filtros de spam e proteções antivírus.

Em alguns cenários, os criminosos coletam informações sobre a vítima em redes sociais e outras fontes acessíveis ao público para garantir que a mensagem isca esteja correlacionada com seus interesses e estilo de vida. O uso de serviços confiáveis de remoção de corretores de dados pode minimizar o risco de exposição a essa inteligência de código aberto (OSINT) obscura.

Contas de SharePoint comprometidas

Outro método para que golpes de phishing passem despercebidos nas caixas de entrada dos usuários é se aproveitar de contas de SharePoint previamente hackeadas. Filtros de e-mail confiam nos domínios usados por esse serviço colaborativo baseado em nuvem da Microsoft. As mensagens pedem aos destinatários que cliquem em uma URL secundária incorporada que leva a um documento malicioso do OneNote disfarçado como uma página de login do OneDrive for Business. As credenciais inseridas nesse formulário de login falso vão automaticamente para os fraudadores.

E-mails elusivos que imitam grandes bancos

Este é um golpe de longa data no repertório dos operadores de phishing. O e-mail falso finge vir de uma instituição financeira popular, como o Bank of America. Ele pede ao destinatário para atualizar seu endereço de e-mail e fornece um link que leva a uma página de phishing de credenciais camuflada como o site oficial do banco. Para simular legitimidade, o golpe inclui uma página extra onde a vítima deve inserir sua pergunta de segurança.

Embora a mensagem seja enviada de um endereço de e-mail “@yahoo.com” em vez do domínio real do banco imitado, muitas ferramentas anti-phishing não conseguem identificá-la como potencialmente maliciosa. Uma das razões é que essa fraude se concentra em apenas algumas pessoas de uma organização, em vez de maximizar seu alcance. As tecnologias de filtragem inspecionam principalmente grandes volumes de e-mails semelhantes e podem ignorar mensagens que chegam em pequenas quantidades.

Em segundo lugar, o e-mail passa nas verificações de segurança porque é enviado de uma conta pessoal do Yahoo. Instrumentos tradicionais de verificação, como o Sender Policy Framework (SPF), o DomainKeys Identified Mail (DKIM) e o Domain-based Message Authentication, Reporting & Conformance (DMARC), confirmam que a mensagem não falsifica o domínio de onde ela está vindo.

Terceiro, as listas de bloqueio integradas em um Secure Email Gateway (SEG) ou na VPN de escolha do usuário podem não incluir a réplica da página do banco devido ao seu recente registro. Além disso, o domínio usa um certificado SSL válido emitido por uma autoridade confiável, como a Comodo. Essa combinação de técnicas, mais elementos sutis de urgência e pressão impostos ao destinatário por meio de engenharia social, torna essa onda de phishing aparentemente simples altamente eficaz.

Arquivo ZIP com armadilha

Um dos truques inteligentes no manual do criminoso moderno é ocultar um anexo de e-mail malicioso dentro de um arquivo ZIP suspeito. A estrutura de um arquivo ZIP benigno normalmente inclui um único valor “End of Central Directory” (EOCD) que denota o componente final da composição do arquivo. Os atacantes estão cada vez mais aproveitando arquivos ZIP que contêm duas entradas EOCD em vez de uma, o que significa que os anexos contêm uma estrutura de arquivo adicional escondida à vista de todos.

Os mecanismos de descompressão integrados em alguns SEGs identificarão e verificarão apenas o elemento “decoy” inofensivo, falhando em detectar e inspecionar a sub-hierarquia maliciosa do arquivo. Como resultado da extração furtiva do arquivo, um malware que rouba informações infecta o computador da vítima.

Distorção do código HTML de um e-mail

Outro mecanismo para contornar SEGs é inverter o texto no código-fonte de uma mensagem e depois renderizá-lo corretamente no próprio e-mail. Dessa forma, os filtros de segurança podem permitir que a mensagem passe, pois seu conteúdo HTML bruto não corresponde a nenhum modelo conhecido de phishing. Enquanto isso, o e-mail será exibido para a vítima em potencial de forma perfeitamente legível.

Uma vertente particularmente complicada dessa artimanha envolve Cascading Style Sheets (CSS), uma ferramenta de programação projetada para adicionar elementos de estilo a documentos HTML. Os invasores a manipulam para combinar scripts em latim e árabe no código de um e-mail. Como esses scripts fluem em direções diferentes (da esquerda para a direita vs da direita para a esquerda), esse método facilita a inversão de texto.

Vigilância é fundamental

Embora os filtros de e-mail sejam indispensáveis para proteger caixas de entrada, eles não são infalíveis. Os esquemas de phishing estão em constante evolução, e algumas mensagens sombrias vão escapar. A responsabilidade final é sua, como destinatário, para evitar ser enganado. Você pode reduzir significativamente os riscos entendendo as tentativas comuns de phishing e tratando qualquer e-mail com uma dose saudável de ceticismo.

Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS