À medida que o phishing fica ainda mais sorrateiro, a segurança do navegador precisa ser intensificada

Views: 335
0 0
Read Time:3 Minute, 24 Second

BLACK HAT USA – Las Vegas  sexta-feira, 11 de agosto   Os ataques de phishing estão indo além dos esforços convencionais e exigem recursos de detecção mais sofisticados.

Isso ocorre porque os tipos modernos de phishing são mais difíceis de detectar, especialmente porque os funcionários trabalham remotamente e são mais difíceis de proteger, observou Din Serussi, gerente do grupo de resposta a incidentes da Perception Point, em sua palestra na Black Hat USA esta semana. Se isso soa alarmista, considere que 91% dos ataques cibernéticos começam com um e-mail de phishing.

Embora antes levasse tempo para um invasor criar um modelo de phishing, Serussi disse que a IA agora pode gerar um modelo de phishing em 30 segundos com a URL maliciosa e um arquivo malicioso incorporado automaticamente.

Algumas das formas de Phishy

Serussi listou várias táticas modernas de phishing usadas pelos invasores. Isso incluiu o uso de caracteres do alfabeto cirílico em uma URL para disfarçar o link malicioso que o invasor envia para sua possível vítima. “Ao olho humano, na verdade parece um texto normal, certo? Se copiarmos e colarmos na linha de comando, podemos ver os espaços suspeitos entre as diferentes letras e, se formos quebrar o unicode, podemos ver como os hackers estão realmente conseguindo nos manipular”, disse ele.

O que parece ser uma palavra de quatro letras é, na verdade, oito letras, e isso pode ignorar a filtragem de texto estático. “Se você estiver usando uma solução de segurança desatualizada, não vai pegar esse tipo de ataque”, disse ele.

Outra tática é ” navegador dentro de um navegador “, onde um invasor usa código HTML e CSS, então uma guia ou pop-up do navegador é aberta em seu navegador, geralmente com “https” na URL para ganhar a confiança do usuário. Embora não tenham a opção de baixar malware, eles podem coletar informações pessoais e de cartão de crédito, pois parecem genuínas. Serussi disse que o software de segurança com análise visual evitará esse ataque de navegador em navegador.

O aumento do phishing QR, ou ” quishing “, aumentou 800% este ano. Ele disse que o problema aqui é que o domínio para o qual o usuário é direcionado parece legítimo em um dispositivo móvel, pois a URL inteira não está visível.

Além disso, os invasores estão usando CAPTCHAs, geofencing e redirecionamentos para induzir os filtros de segurança a pensar que o URL é legítimo, redirecionando o usuário para um site diferente.

Corrigindo o problema

Serussi disse que há uma nova abordagem para lidar com problemas de segurança no navegador: extensões de navegador que oferecem recursos de detecção.

Ele disse que o primeiro passo é ter uma verificação 100% dinâmica para que “ao mover as detecções do e-mail para o navegador da Web, você seja capaz de detectar o comportamento malicioso”.

Ataques de phishing em mídias sociais e aplicativos de mensagens também podem ser resolvidos com extensões de navegadores, acrescentou Serussi.

Também é importante ter visibilidade das credenciais inseridas nos navegadores gerenciados. Ao examinar o valor de uma semana de credenciais inseridas no navegador de um usuário comprometido, geralmente você pode descobrir de onde realmente veio o comprometimento da conta, disse Serussi.

Essas soluções avançadas de segurança também podem enviar alertas quando uma senha é digitada várias vezes, ou se o usuário digitar sua senha de trabalho em uma conta do Facebook, a conta pode ser bloqueada imediatamente.

Ele também recomendou o uso da tecnologia de prevenção de vazamento de dados para ver quem está baixando arquivos enormes de uma unidade compartilhada, bloquear suas ações e downloads e desativar imediatamente o usuário específico até que fique claro o que está acontecendo.

Serussi também recomendou o uso de uma política de senha forte, reforça a autenticação de dois fatores e configura uma estrutura de política padrão, que verifica um e-mail em busca de correlação entre o domínio para o qual o e-mail foi enviado e o endereço IP.

FONTE: DARKREADING

POSTS RELACIONADOS