À medida que as tecnologias evoluem e se desenvolvem rapidamente, o mesmo acontece com as ameaças e os ataques virtuais. Novas formas de ameaças baseadas no correio eletrónico estão a tomar forma, com graus mais elevados de intensidade e escala. Um exemplo importante de uma ameaça baseada no correio eletrónico recentemente descoberta é destacado num estudo detalhado da Researchgate - conhecido como BreakSPF, que explora as vulnerabilidades existentes num dos protocolos de autenticação de correio eletrónico mais utilizados, o Sender Policy Framework (SPF). O que é particularmente preocupante neste novo tipo de ameaça é o facto de poder causar danos em grande escala e pôr em perigo milhões de domínios em simultâneo.
O que é o ataque BreakSPF - o novo truque dos hackers
O BreakSPF é uma nova estrutura de ataque que contorna as verificações SPF para tentar falsificar e-mails. Os domínios com configurações SPF permissivas são particularmente vulneráveis a este tipo de ataque. O BreakSPF alimenta-se do facto de muitas organizações utilizarem infra-estruturas de e-mail partilhadas, quer sejam fornecidas por fornecedores de serviços de e-mail na nuvem, proxies ou redes de distribuição de conteúdos (CDNs) com pools de IP partilhados. Os intervalos de IP amplamente definidos nos registos SPF destas infra-estruturas de correio eletrónico partilhadas criam um terreno fértil para os piratas informáticos e os atacantes entrarem em ação.
Ataque BreakSPF vs. outras ameaças baseadas em e-mail
A maioria dos ataques tradicionais de falsificação de correio eletrónico ou de phishing tentam contornar a segurança do correio eletrónico através de engenharia social ou malware. O BreakSPF, por outro lado, visa o próprio mecanismo SPF, explorando o próprio sistema concebido para o proteger de tentativas de falsificação de correio eletrónico. Por outras palavras, enquanto os ataques básicos e tradicionais de falsificação de correio eletrónico ou de phishing podem ser bloqueados por verificações SPF ou DKIM, num ataque BreakSPF, os agentes de ameaças podem contornar estas verificações, permitindo que os e-mails falsificados cheguem facilmente a caixas de correio de destinatários insuspeitos.
Como funciona o BreakSPF: Contornar as verificações SPF
De acordo com o documento de conferência do Researchgate"51,7% dos domínios têm registos SPF que incluem mais de 65.536 (216) endereços IP". Não só é perigoso um intervalo tão grande, como também é completamente desnecessário, uma vez que a maioria dos domínios de correio eletrónico não necessita de tantos endereços IP. Registos SPF demasiado aninhados e demasiado grandes podem levar a uma situação em que os limites de pesquisa SPF estão potencialmente a ser excedidos. Isto pode permitir que os piratas informáticos escapem aos protocolos de segurança existentes. Isto acontece porque, quando o registo SPF é demasiado complexo e o limite de pesquisa SPF é ultrapassado, a camada protetora deixa de fazer o trabalho para o qual foi inicialmente concebida.
O ataque funciona da seguinte forma: um atacante identifica um domínio popular (como example.com) que tem uma configuração SPF vulnerável, o que significa que o seu registo SPF permite uma vasta gama de endereços IP. O atacante utiliza serviços públicos que fornecem acesso a endereços IP dentro deste intervalo permitido. Em seguida, envia às vítimas mensagens de correio eletrónico falsificadas a partir desses endereços IP. Dado que a validação SPF verifica o endereço IP do remetente e considera-o legítimo (uma vez que se insere no registo SPF do domínio), as mensagens de correio eletrónico falsificadas passam nas verificações SPF e DMARC. Como resultado, as vítimas recebem e-mails com aspeto autêntico que contornaram as medidas padrão de autenticação de e-mail.
Os principais elementos deste ataque incluem:
- O domínio de destino tem um registo SPF com intervalos de IP demasiado permissivos.
- O atacante controla uma infraestrutura pública suficiente para selecionar os endereços IP incluídos nesse registo SPF.
- O atacante pode enviar mensagens de correio eletrónico falsas sem necessitar de capacidades avançadas como a falsificação de DNS ou a modificação de entradas de DNS.
Tipos de ataques BreakSPF
A transmissão de correio eletrónico ocorre geralmente através de dois canais principais: Servidores HTTP e servidores SMTP. Com base nisto, o próprio ataque BreakSPF é categorizado em três grupos distintos pela Researchgate:
1. Ataques de endereço IP fixo
Nos ataques de endereço IP fixo, os atacantes mantêm um controlo a longo prazo sobre endereços IP específicos. Agindo como agentes de transferência de correio (MTAs), enviam mensagens de correio eletrónico maliciosas e falsificadas diretamente para o serviço de correio eletrónico da vítima. Estes ataques utilizam frequentemente infra-estruturas partilhadas, como servidores em nuvem e serviços proxy. Os mecanismos tradicionais de defesa contra o spam, incluindo a greylisting, são geralmente ineficazes contra ataques de endereços IP fixos.
2. Ataques a endereços IP dinâmicos
Ao utilizar este método, os atacantes não têm controlo sobre os endereços IP de saída específicos para cada ligação. No entanto, avaliam dinamicamente quais os domínios mais vulneráveis com base no IP de saída atual e, assim, obtêm temporariamente o controlo através de várias funcionalidades ou métodos. Como estes endereços IP mudam constantemente, os métodos tradicionais de lista negra de IP tornam-se novamente ineficazes contra ataques de endereços IP dinâmicos. Enquanto o método anterior, ataques de endereço IP fixo, utilizava servidores em nuvem e serviços de proxy, os ataques de endereço IP dinâmico aproveitam a infraestrutura pública (por exemplo, funções sem servidor, plataformas CI/CD, etc.).
3. Ataques entre protocolos
Quando utilizam ataques entre protocolos, os atacantes nem sequer precisam de ter controlo direto sobre os endereços IP. Em vez disso, os piratas informáticos incorporam dados SMTP dentro de pacotes de dados HTTP. Depois, reencaminham esses pacotes para o serviço de correio eletrónico da vítima pretendida, utilizando proxies HTTP e nós de saída CDN. Ao visar a vítima com ataques entre protocolos, os piratas informáticos utilizam frequentemente infra-estruturas partilhadas (por exemplo, proxies HTTP abertos, serviços CDN, etc.). Este tipo de ataque é extremamente difícil de detetar ou rastrear, uma vez que ocorre de uma forma muito intransparente.
O impacto dos ataques BreakSPF
Os domínios de todo o mundo podem facilmente ser vítimas de ataques de phishing e expor dados muito sensíveis e confidenciais a piratas informáticos em resultado de ataques BreakSPF. As empresas podem também perder a sua reputação entre as pessoas que confiavam nelas e nas comunicações que delas provinham.
Muitas empresas de alto perfil podem sofrer perdas financeiras significativas, bem como de quota de mercado, devido a uma deterioração da reputação. Isto implica que os ataques BreakSPF podem ter consequências diretas e indirectas não só na segurança e privacidade dos dados, mas também noutros aspectos de uma empresa, como a imagem de marca, as vendas e a posição no mercado.
Para além do impacto a nível micro nas organizações, podemos notar que este tipo de ataques maciços de phishing e de falsificação extensiva de correio eletrónico também irá diminuir a confiança nas trocas de correio eletrónico em geral, restringindo a liberdade das pessoas nas comunicações quotidianas, tanto a nível pessoal como profissional, e obrigando-as a mudar para outras plataformas. Isto pode ser prejudicial para as estruturas estabelecidas e até para as campanhas de marketing que utilizam o correio eletrónico e as newsletters como parte integrante da sua estratégia de marketing.
Assim, o impacto dos ataques BreakSPF ultrapassa qualquer área geográfica ou categoria específica. Afecta indivíduos e empresas que utilizam as comunicações por correio eletrónico para uma variedade de necessidades e objectivos.
Como evitar o ataque BreakSPF
Existem várias medidas importantes que pode tomar para evitar esses ataques ao seu domínio e proteger a sua empresa e os seus funcionários:
1. Tornar os registos SPF menos complexos
De acordo com as melhores práticas de SPF, deve haver apenas um registo SPF para um determinado domínio. Infelizmente, os registos SPF complexos e múltiplos para um único domínio são muito comuns hoje em dia, uma vez que os proprietários de domínios não prestam atenção suficiente a uma gestão precisa do SPF.
Esta prática incorrecta conduz a falhas de validação SPF, em resultado das quais mesmo os e-mails legítimos são frequentemente marcados como spam. Isto prejudica a capacidade de entrega do correio eletrónico como um todo, pondo em risco as comunicações e a reputação da empresa.
2. Evitar exceder o limite de pesquisa de DNS de 10
"SPF Permerror: too many DNS lookups" é a mensagem que receberá quando exceder o limite de 10 pesquisas de DNS. O Permerror é tratado como uma falha de SPF devido a um erro permanente e pode muitas vezes impedir que o correio eletrónico chegue à caixa de entrada do destinatário pretendido ou sinalizá-lo como suspeito. Isto pode causar problemas graves nas taxas de entrega de correio eletrónico.
Há várias medidas que podem ser tomadas para evitar exceder o limite de 10 pesquisas de DNS. Por exemplo, pode remover declarações "include" desnecessárias e IPs aninhados utilizando um programa de SPF flattening SPF.
De preferência, pode otimizar o seu registo SPF utilizando Macros SPF. Na PowerDMARC, ajudamos os nossos clientes a obter um SPF sem erros e com pesquisas ilimitadas, sempre com o nosso SPF hospedado que aproveita a integração de macros.
Para mais informações, pode consultar a nossa publicação no blogue sobre os passos necessários para corrigir o SPF Permerror.
3. Corrigir lacunas nas configurações incorrectas do protocolo
O BreakSPF pode contornar a verificação SPF e DMARC. É importante identificar e corrigir quaisquer lacunas ou configurações incorrectas na adoção do SPF e do DMARC para evitar que os atacantes contornem as verificações. Essas lacunas e configurações erradas podem incluir a adoção incorrecta do DMARC e do SPF, a falta de actualizações ou optimizações atempadas, etc.
4. Monitorizar os seus relatórios DMARC
A ativação dos relatórios DMARC para os seus domínios e uma atenção cuidada aos mesmos pode também ajudá-lo a detetar quaisquer problemas e configurações incorrectas nos protocolos de autenticação de correio eletrónico existentes. Estes relatórios fornecem-lhe uma grande quantidade de informações que podem levar à deteção de endereços IP suspeitos.
5. Aplique suas políticas DMARC
Não só o DMARC deve ser combinado com o SPF e o DKIM, como também deve ser implementado com políticas rigorosas, como a Rejeição DMARC, para evitar políticas demasiado permissivas. A política DMARC none não oferece qualquer proteção contra ciberataques. Deve ser utilizada apenas na fase inicial da autenticação de correio eletrónico (ou seja, na fase de monitorização).
No entanto, se continuar a seguir esta política para além da fase inicial de monitorização, pode causar sérios problemas de segurança, uma vez que deixará o seu domínio vulnerável a ataques informáticos. Isto porque, mesmo quando o DMARC falha para o seu correio eletrónico, ao abrigo da política "nenhum", o correio eletrónico continuará a ser entregue na caixa de entrada do destinatário, muitas vezes com conteúdos maliciosos.
6. Reforço da gestão portuária
O reforço e a melhoria da gestão das portas para os serviços de computação em nuvem também ajudarão a impedir que os atacantes abusem do IP da computação em nuvem. Os serviços em nuvem são uma fonte comum de ciberataques. Isto porque a nuvem é frequentemente utilizada como armazenamento de dados importantes e sensíveis, o que a torna um alvo atrativo para os piratas informáticos. Além disso, os ataques à nuvem também podem levar a violações de dados, uma vez que, quando os hackers conseguem aceder à conta da nuvem, podem ver e roubar imediatamente todos os dados de uma só vez.
Assim, embora ter todos os seus dados numa plataforma de nuvem centralizada possa ter o seu conjunto de vantagens, também pode ser muito perigoso para a sua segurança online. Assim, medidas proactivas como a encriptação de dados, a deteção de intrusões e o controlo rigoroso do acesso são de extrema importância para melhorar a segurança dos seus serviços na nuvem e da sua empresa como um todo.
Resumo
Precisa de ajuda e aconselhamento relativamente à adoção correta dos seus protocolos de autenticação de e-mail? O PowerDMARC está aqui para ajudar!
O serviço SPF gerido habitualmente pelo PowerDMARC - PowerSPFoferece uma vasta gama de soluções de gestão e otimização de SPF alojadas para empresas de todo o mundo, ajudando-o a evitar o BreakSPF e muitos outros erros e problemas relacionados com o SPF. Aumente a segurança do seu domínio - contacte a PowerDMARC hoje mesmo e desfrute de paz de espírito ao comunicar digitalmente!
- Como configurar o correio com a marca Apple utilizando o Apple Business Connect - 3 de dezembro de 2024
- Alisamento do SPF: O que é e porque é que precisa dele? - 26 de novembro de 2024
- Apresentação do DKIM2: O futuro da segurança do correio eletrónico - 20 de novembro de 2024