Os 3 principais padrões de segurança de e-mail se mostram muito porosos para a tarefa

Views: 197
0 0
Read Time:5 Minute, 21 Second

Os padrões de segurança de e-mail estão se mostrando porosos no que diz respeito a ataques de e-mail maliciosos, já que os invasores usam um link enganoso ou novos domínios que cumprem os mesmos padrões de segurança de e-mail que usuários comuns empregam para neutralizar ameaças como phishing, de acordo com um relatório de fornecedor divulgado esta semana.

A empresa de segurança Cloudflare descobriu que a grande maioria (89%) das mensagens indesejadas passou pela verificação de pelo menos um dos três principais padrões de segurança de e-mail: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) ou Autenticação de mensagem baseada em domínio , Relatórios e Conformidade (DMARC). O SPF normalmente usa um registro de nome de domínio para indicar quais servidores podem enviar e-mails em nome do domínio, enquanto o DKIM permite que os remetentes assinem partes de uma mensagem, como o endereço “de”, para atestar sua validade. Por fim, o DMARC é uma forma de especificar políticas, que podem incluir atestado por processamento SPF e DKIM.

Embora esses padrões de autenticação de e-mail sejam cruciais para tornar a Internet mais segura, eles só podem proteger os usuários das ameaças contra as quais foram projetados para proteger, diz Oren Falkowitz, diretor de segurança de campo da Cloudflare.

“É trivial para os agentes de ameaças configurar um domínio com os registros de autenticação de e-mail corretos, de modo que eles passem em todas as verificações de autenticação necessárias e, ao mesmo tempo, incluam cargas ou links maliciosos na mensagem para obter acesso à organização”, diz ele. “Alavancar um provedor de e-mail comum garante que as mensagens de ataque passem por todas as verificações de autenticação típicas – fornecendo uma ‘pista rápida’ para o alvo pretendido.”

Os dados ressaltam que ainda há muito mais trabalho a ser feito para proteger os usuários de fraudadores e ciberataques que usam regularmente o e-mail para enviar golpes e malware às vítimas. A adição de SPF, DKIM e às caixas de ferramentas antifraude das organizações certamente tornou o trabalho dos invasores mais difícil, mas não impossível. Os principais provedores de serviços de e-mail, como o Gmail do Google, adotaram os padrões de segurança, mas também os invasores, que adotam rapidamente qualquer solução alternativa. Na recente conferência de hacking DEF CON, um pesquisador de segurança demonstrou uma maneira de usar um serviço de e-mail para enviar mensagens em nome de outros domínios, mas que ainda passam nas verificações do DMARC.

Por esse motivo, os defensores precisam adotar uma abordagem em camadas, diz David Raissipour, diretor de tecnologia e produto da Mimecast.

“Como qualquer solução de segurança, ninguém deve assumir 100% de cobertura”, diz ele. “A maneira mais fácil de descrever isso seria como dizer: ‘Colocamos um cadeado na porta da frente – isso deve evitar todos os roubos.’ Essa afirmação não seria precisa, mas você nunca deve considerar ter uma casa sem fechadura na porta da frente – é simplesmente parte de um sistema de segurança em camadas.”

Imitadores baratos

Em seu ” Relatório de ameaças de phishing de 2023 “, a Cloudflare observou que as tecnologias de segurança de e-mail não impedem conteúdo de e-mail semelhante, domínios semelhantes a uma marca de empresa e alguns ataques de repetição. Cerca de um em cada sete e-mails de phishing tenta camuflar o ataque na marca de uma empresa conhecida. As principais marcas falsificadas incluem Microsoft, Organização Mundial da Saúde e Google, com as 20 principais marcas representando mais da metade (52%) de todas as tentativas de falsificação de identidade.

Além de se passar por qualquer uma das mais de 1.000 marcas, os invasores usaram links enganosos em mais de um terço das vezes (36%); os e-mails vieram de domínios recém-registrados em 30% das vezes , de acordo com a análise de dados da Cloudflare de centenas de milhões de ataques.

Desde sua introdução na virada do século e sua adoção como um padrão proposto há quase uma década , o SPF tem se concentrado em tornar mais difícil para os fraudadores se passarem por domínios legítimos. No entanto, em 2022, apenas cerca de 60% dos domínios tinham uma política SPF válida, enquanto 31% não tinham política e outros 9% tinham uma política mal configurada, de acordo com URIports.com .

“Ter esses padrões ajuda a garantir que os e-mails sejam originados de remetentes válidos, o que é um caso de uso crítico”, diz Falkowitz da Cloudflare. “Mas esses padrões não foram feitos para – nem eles – detectar a presença de cargas maliciosas, links ou ataques sem carga útil, como fraude de fatura ou comprometimento de e-mail comercial”.

A Cloudflare baseou sua análise em uma amostra de 12 meses de aproximadamente 13 bilhões de mensagens de e-mail, incluindo quase 280 milhões de indicadores de ameaças de e-mail, 250 milhões de mensagens maliciosas e cerca de um bilhão de instâncias de falsificação de marca, afirmou o relatório.

Segurança multicamada necessária

Só porque uma mensagem de e-mail vem de um servidor validado não significa que a mensagem não seja fraudulenta, então as empresas precisam verificar os domínios verificados e os remetentes das mensagens de e-mail. Com efeito, as organizações também precisam aplicar princípios de confiança zero à segurança de seus e-mails, incluindo autenticação multifatorial resistente a phishing, diz Falkowitz.

“Os invasores obtêm sucesso tentando ser autênticos – representando a si mesmos como as marcas que conhecemos e confiamos, bem como as pessoas que conhecemos e com quem fazemos negócios”, diz ele, acrescentando: “A única maneira de capturar esses ataques é sendo preventivamente em nossa abordagem e empregando um conjunto diversificado de sinais e técnicas que abrangem os vários tipos de ataque e vetores de ataque vistos nessas campanhas.”

Além disso, os controles de segurança precisam proteger mais do que apenas e-mail, já que muitas empresas contam com Slack, Microsoft Teams ou outros aplicativos de mensagens para operações diárias, diz Raissipour da Mimecast.

“Realmente precisamos pensar de forma mais holística sobre o que podemos chamar de ‘segurança de e-mail'”, diz ele. “Funcionários, parceiros e clientes usam mais do que apenas e-mail para comunicação. Vimos essas plataformas se tornarem um alvo para agentes mal-intencionados, e as organizações devem considerar a segurança de todos os seus canais de comunicação.”

FONTE: DARKREADING

POSTS RELACIONADOS