0
0
Avanan descobre um novo golpe que usa os ataques Business Email Compromise (BEC) com links da Evernote para hospedar faturas enviadas nesses ataques
Os pesquisadores da Avanan, empresa de segurança de colaboração e e-mail em nuvem da Check Point, alertam para suas novas descobertas referentes aos ataques de Business Email Compromise (BEC, comprometimento de e-mail comercial). Os atacantes estão usando a marca da Evernote, software destinado à organização da informação pessoal mediante um arquivo de notas, para ajudar a tornar os seus ataques BEC ainda mais convincentes.
Nesse ataque, os cibercriminosos estão usando links da Evernote para hospedar faturas que são enviadas nos ataques BEC. O ataque começa com uma mensagem anexada, enviada diretamente do presidente da organização em questão, sendo que se trata de uma conta comprometida. Ao clicar no link no email, o usuário vai para a página da Evernote, já retirada do ar.
Diferentemente de outras situações, onde os hackers geralmente se passam por executivos usando truques no campo do remetente, neste caso, o email do presidente da organização estava na verdade comprometido e foi enviado diretamente da conta dele.
Mas, a Evernote, como muitas empresas com sites legítimos, está sendo cada vez mais usada para hacking. Recentemente, de acordo com Huntress, houve um aumento na hospedagem de documentos maliciosos na Evernote. Neste caso, há um documento na Evernote que leva para uma página de login falsa para roubo de credenciais.
Técnicas
Os ataques BEC são difíceis de bloquear a partir de uma perspectiva de segurança, e difíceis para serem reconhecidos da perspectiva de um usuário final. Há um número de variantes, mas, em geral, esses ataques BEC falsificam alguém de uma organização, muitas vezes um executivo de alto escalão, e não usa qualquer malware ou link malicioso. Alguns ataques BEC usam malware ou links maliciosos, mas os mais difíceis de serem evitados são principalmente baseados em texto.
Parar ataques BEC, então, torna-se extremamente importante, e há algumas coisas que precisam ser feitas. Por um lado, Inteligência Artificial (IA) e machine learning (ML) precisam ser envolvidos para haver a habilidade para compreender o conteúdo de um e-mail, o contexto e o tom, e entender quando se diferem.
E também verificar se a organização tem conta de proteção contra aquisição de contas. Não se sabe como esse usuário foi inicialmente comprometido, mas, atualmente, é possível prover ao hacker muitos dos caminhos para fazer isso – e-mail, texto, voz, chat, arquivo compartilhado. Assim, entender os eventos de login, mudanças de configuração e atividades de usuário final, através de uma suíte completa de produtividade, é a chave.
Melhores práticas: orientações e recomendações
Para se protegerem contra esses ataques, os profissionais de segurança precisam proceder da seguinte forma:
- Verificar sempre os endereços de resposta para garantir que correspondam.
- Se alguma vez tiver dúvidas sobre um e-mail, perguntar ao remetente original.
- Criar processos para os funcionários seguirem ao pagar faturas ou inserir credenciais. Incentivar os usuários a perguntar ao setor financeiro antes de agir sobre pagamento de faturas.
- Ler todo o e-mail; procurar por quaisquer inconsistências, erros de ortografia ou discrepâncias.
- Se utilizar banners, certificar-se de não “bombardear” os usuários finais com eles; utilizar apenas em momentos críticos para que os usuários finais os levem a sério.
- Implementar segurança avançada que analisa mais de um indicador para determinar se um e-mail está limpo ou não.
- Implementar autenticação de múltiplos fatores para todas as contas, mas especialmente e-mail.
- Configurar contas para o notificar de alterações.
- Usar um gerenciador de senhas para criar e armazenar suas senhas – o profissional de segurança nunca deve saber sua própria senha.
- Sempre monitorar todas as URLs, mesmo aquelas que não estão no corpo do e-mail.
- Lembrar os usuários de compartilhar apenas informações pessoais em tempo real, pessoalmente ou por telefone. Incentivá-los a serem céticos em relação a todas as mensagens com links e a sempre verificar com o remetente, em tempo real, quaisquer mensagens com arquivos anexados.
FONTE: IP NEWS