Top 5 Evolved Email Fraud Scams: 2023 Tendências

Fraudes em 2021

O e-mail serve como um canal crítico para a geração de leads B2B e comunicações com clientes, mas é também um dos canais mais visados para ciberataques e esquemas de fraude de e-mail. Os cibercriminosos estão sempre a inovar os seus ataques de modo a roubar mais informação e activos financeiros. À medida que as organizações continuam a lutar com medidas de segurança mais fortes, os cibercriminosos devem constantemente desenvolver as suas tácticas e melhorar as suas técnicas de phishing e de falsificação.

Em 2023, foi detectado por investigadores de segurança de todo o mundo um aumento drástico na utilização de ataques de phishing baseados em aprendizagem automática (ML) e inteligência artificial (IA) que não são detectados pelas soluções tradicionais de segurança de correio eletrónico. O principal objetivo destes ataques é manipular o comportamento humano e enganar as pessoas para que realizem acções não autorizadas - como transferir dinheiro para contas de fraudadores.

Embora a ameaça de ataques e fraudes por correio electrónico esteja sempre a evoluir, não fique para trás. Conheça as tendências de fraude de correio electrónico que terão lugar nos próximos anos em termos de tácticas de fraude, ferramentas, e malware. Através deste post no blog, vou mostrar-lhe como os cibercriminosos estão a desenvolver as suas tácticas, e explicar-lhe como o seu negócio pode impedir que este tipo de ataque de correio electrónico ocorra.

Tipos de esquemas de fraude de e-mail a ter cuidado em 2023

1. Compromisso de Email Empresarial (BEC)

A COVID-19 obrigou as organizações a implementar ambientes de trabalho à distância e a passar à comunicação virtual entre empregados, parceiros e clientes. Embora isto tenha alguns benefícios a enumerar, o lado negativo mais aparente é o aumento alarmante da BEC ao longo do ano passado. BEC é um termo mais amplo utilizado para se referir a ataques de fraude por correio electrónico como a falsificação de correio electrónico e o phishing.

A ideia comum é que um ciberataque utilize o seu nome de domínio para enviar e-mails aos seus parceiros, clientes, ou empregados tentando roubar credenciais empresariais para obter acesso a bens confidenciais ou iniciar transferências electrónicas. BEC afectou mais de 70% das organizações durante o último ano e levou à perda de milhares de milhões de dólares de activos da empresa.

2. Ataques de Phishing por e-mail em evolução

Os ataques de phishing por correio eletrónico evoluíram drasticamente nos últimos anos, embora o motivo permaneça o mesmo: é o meio de manipular os seus parceiros de confiança, empregados e clientes para que cliquem em ligações maliciosas encapsuladas num correio eletrónico que parece ter sido enviado por si, a fim de iniciar a instalação de malware ou o roubo de credenciais. Os burlões de e-mail evoluíram e estão a enviar e-mails de phishing que são difíceis de detetar. Desde escrever linhas de assunto impecáveis e conteúdos sem erros até criar páginas de destino falsas com um elevado nível de precisão, o rastreio manual das suas actividades tornou-se cada vez mais difícil em 2023.

3. Man-In-The-Middle

Passaram os dias em que os atacantes enviavam e-mails mal redigidos que até um leigo podia identificar como fraudulentos. Hoje em dia, os agentes de ameaças estão a tirar partido de problemas de segurança SMTP como a utilização de encriptação oportunista nas transacções de correio electrónico entre dois servidores de correio electrónico comunicantes, escutando a conversa depois de ter conseguido reverter a ligação segura para uma não encriptada. Ataques MITM como o downgrade de SMTP e spoofing de DNS têm vindo a ganhar cada vez mais popularidade em 2023.

4. Fraude do CEO

A fraude do CEO refere-se aos esquemas que estão a ser conduzidos e que visam executivos de alto nível para obter acesso a informações confidenciais. Os atacantes fazem-no assumindo as identidades de pessoas reais, como CEOs ou CFOs, e enviando uma mensagem a pessoas de níveis inferiores da organização, parceiros e clientes, enganando-os para que forneçam informações confidenciais. Este tipo de ataque é também designado por Business Email Compromise ou whaling. Num ambiente empresarial, alguns criminosos estão a tentar criar um e-mail mais credível, fazendo-se passar pelos decisores de uma organização. Isto permite-lhes pedir transferências de dinheiro fáceis ou informações sensíveis sobre a empresa.

5. COVID-19 Vaccine Lures

Os investigadores de segurança revelaram que os hackers ainda estão a tentar capitalizar os receios ligados à pandemia da COVID-19. Estudos recentes lançaram luz sobre a mentalidade dos cibercriminosos, revelando um interesse contínuo no estado de pânico em torno da pandemia da COVID-19 e um aumento mensurável dos ataques de phishing e de correio electrónico comercial (BEC), visando os líderes das empresas. O meio para perpetrar estes ataques é uma falsa isca de vacina COVID-19 que instantaneamente desperta o interesse entre os destinatários de correio electrónico.

Como se pode melhorar a segurança do correio electrónico?

  • Configure o seu domínio com normas de autenticação de e-mail como SPF, DKIM e DMARC
  • Mudança da monitorização do DMARC para a aplicação do DMARC para obter a máxima protecção contra BEC, fraude do CEO e ataques de phishing evoluídos
  • Monitorizar de forma consistente o fluxo de correio electrónico e os resultados da autenticação de tempos a tempos
  • Tornar a encriptação obrigatória no SMTP com MTA-STS para mitigar os ataques MITM
  • Receba notificações regulares sobre problemas de entrega de correio electrónico com detalhes sobre as suas causas de raiz com relatórios SMTP TLS (TLS-RPT)
  • Mitigar o SPF permerror, mantendo-se sempre abaixo do limite de 10 DNS
  • Ajude os seus destinatários a identificar visualmente a sua marca nas suas caixas de entrada com BIMI

O PowerDMARC é a sua plataforma SaaS de autenticação de e-mail única que reúne todos os protocolos de autenticação de e-mail como SPF, DKIM, MTA-STS, TLS-RPT e BIMI num único painel de vidro. Registe-se hoje para obter o seu analisador DMARC gratuito!

fraude de correio electrónico

Últimos posts de Ahona Rudra (ver todos)
/por
Pode também gostar de
segurosComo os esquemas de Phishing estão a utilizar o Office 365 para alvejar as empresas de seguros
email bounce rate blogueReduza as suas Taxas de Salto por Email com DMARC
blogue mta stsMelhoria da segurança do correio electrónico com relatórios MTA-STS e SMTP TLS
powerdmarc csa bloguePowerDMARC anuncia nova parceria com a Cloud Security Alliance
Compreender os diferentes tipos de ameaças à segurança do correio electrónico e como evitá-lasCompreender os diferentes tipos de ameaças à segurança do correio electrónico e como evitá-las
homem no meio farejadorO que é o TLS Downgrade Attack? Como é que a MTA-STS vem para o Resgate?
Como configurar o DMARC?Como configurar o DMARCO que é um servidor DNSServidores DNS - O que são e como utilizá-los?