0
0
Os invasores encontraram uma nova maneira de evitar a detecção de comprometimento de e-mail comercial (BEC) e ataques de tomada de conta comprando endereços IP gerados localmente para mascarar a origem de suas tentativas de login, contornando assim a detecção de segurança comum de “viagem impossível”, alerta a Microsoft.
Uma bandeira de viagem impossível ocorre quando uma tarefa é executada em dois locais em um período de tempo menor do que seria necessário para viajar de um local para o outro – por exemplo, se o funcionário A sempre fizer logon de Boston às 9h, uma tentativa de login uma hora depois de Cingapura levantaria uma bandeira vermelha. No entanto, mascarar o endereço IP de origem real do qual uma tarefa maliciosa está vindo fornece “a capacidade e a oportunidade para os cibercriminosos reunirem grandes volumes de credenciais comprometidas e acessarem contas” de qualquer lugar, escreveram pesquisadores da Microsoft em uma postagem no blog.
Os agentes de ameaças estão usando uma combinação de plataformas como o BulletProftLink, um serviço para criar campanhas de e-mail maliciosas em escala industrial, e serviços de IP residencial para ajudá-los a escapar da bandeira, revelaram pesquisadores de segurança da Microsoft.
A BulletProftLink vende um serviço de ponta a ponta, incluindo modelos, hospedagem e serviços automatizados para cometer BEC — essencialmente fornecendo cibercrime como serviço (CaaS). O abuso de endereços IP residenciais, por sua vez, permite maiores volumes de ataques BEC, alertaram os pesquisadores. Um provedor de serviços IP, por exemplo, tem 100 milhões de endereços IP que podem ser girados ou alterados a cada segundo.
“Agora, armados com espaço de endereço localizado para apoiar suas atividades maliciosas, além de nomes de usuário e senhas, os invasores BEC podem ocultar movimentos, contornar bandeiras de ‘viagens impossíveis’ e abrir uma porta de entrada para realizar novos ataques”, de acordo com a Microsoft, que acrescentou que os agentes de ameaças na Ásia e no Leste Europeu são os que mais frequentemente implantam essa tática.
Uma maré crescente de comprometimento de e-mail empresarial
O alerta surge num contexto de escalada de campanhas do BEC. De fato, o FBI informou que, em 2022, registrou mais de 21.000 queixas BEC, totalizando perdas ajustadas de mais de US$ 2,7 bilhões. A Microsoft disse que quase todas as formas de ataques BEC estão aumentando, com as principais iscas entre as campanhas de engenharia social, incluindo tópicos de folha de pagamento, faturas, cartões-presente e informações comerciais.
“Em vez de explorar vulnerabilidades em dispositivos sem patch, os operadores BEC procuram explorar o mar diário de tráfego de e-mail e outras mensagens para atrair as vítimas a fornecer informações financeiras, ou tomar uma ação direta, como enviar fundos sem saber para contas de mulas de dinheiro, que ajudam os criminosos a realizar transferências de dinheiro fraudulentas”, escreveram os pesquisadores no post.
Os principais alvos dos cibercriminosos da BEC são executivos e outros líderes seniores, gerentes financeiros e funcionários de recursos humanos com acesso a registros de funcionários, como números de seguridade social, declarações fiscais ou outras informações de identificação pessoal, disse a empresa.
Os invasores também gostam de atingir novos funcionários que podem ser menos propensos a verificar endereços de e-mail de remetentes desconhecidos, disseram os pesquisadores. De fato, os invasores violaram com sucesso o fornecedor de segurança Dragos ao atingir um novo funcionário com um ataque de engenharia social, permitindo que eles entrassem no processo de integração de funcionários da empresa.
Proteção e mitigação contra táticas de IP local
Embora o “mascaramento por trás de diferentes IPs/proxies” esteja em uso por agentes de ameaças há mais de uma década, seu uso crescente em ataques BEC deve servir como um lembrete para as organizações de que elas precisam praticar mais vigilância ao sinalizar atividades suspeitas de rede, observa um especialista em segurança.
Em particular, as organizações precisam usar mais do que a geolocalização para avaliar a autenticidade de uma tentativa de acessar uma rede, diz Roy Akerman, cofundador e CEO da empresa de segurança em nuvem e SaaS Rezonate. Em vez disso, a análise comportamental completa é o caminho a seguir.
“Informações comportamentais adicionais sobre os detalhes do navegador, ações tomadas, padrão de uso e outras devem ser levadas em conta para limitar o uso e o roubo de identidades”, diz ele em um e-mail ao Dark Reading.
Há também outras medidas que as empresas podem tomar para impedir campanhas BEC que tentam contornar a bandeira de viagem impossível, disse a Microsoft. A empresa sugeriu que as empresas configurem sistemas de e-mail para sinalizar mensagens enviadas de terceiros, bem como habilitar o DMARC e notificações para quando os remetentes de e-mail não forem verificados.
As organizações também devem bloquear remetentes com identidades que não possam confirmar de forma independente e relatar seus e-mails como phishing ou spam em aplicativos de e-mail, disseram os pesquisadores.
A configuração de políticas de autenticação fortes, como a autenticação multifator (MFA), também pode ajudar a frustrar as campanhas BEC, tornando as contas “mais resistentes ao risco de credenciais comprometidas e tentativas de login de força bruta, independentemente do espaço de endereço que os invasores usam”, observaram os pesquisadores.
O treinamento dos funcionários sobre como identificar e-mails fraudulentos e maliciosos deve ser comum entre as organizações neste momento, dada a frequência com que os invasores usam BEC e phishing para comprometer contas, bem como sua taxa de sucesso contínua e o custo associado a esses ataques, disseram os pesquisadores.
FONTE: DARK READING