Como os esquemas de Phishing estão a utilizar o Office 365 para alvejar as empresas de seguros

O e-mail é muitas vezes a primeira escolha para um cibercriminoso, quando estão a lançar, porque é muito fácil de explorar. Ao contrário dos ataques de força bruta, que são pesados no poder de processamento, ou métodos mais sofisticados que requerem um alto nível de habilidade, a falsificação de domínios pode ser tão fácil como escrever um e-mail fingindo ser outra pessoa. Em muitos casos, essa "outra pessoa" é uma importante plataforma de serviço de software em que as pessoas dependem para fazer o seu trabalho.

Foi o que aconteceu entre 15 e 30 de Abril de 2020, quando os nossos analistas de segurança no PowerDMARC descobriram uma nova onda de e-mails de phishing que visavam as principais companhias de seguros do Médio Oriente. Este ataque tem sido apenas um entre muitos outros no recente aumento de casos de phishing e falsificação durante a crise do Covid-19. Já em Fevereiro de 2020, outro grande esquema de phishing chegou ao ponto de se fazer passar pela Organização Mundial de Saúde, enviando e-mails a milhares de pessoas pedindo doações para o alívio do coronavírus.

Nesta recente série de incidentes, os utilizadores do serviço Office 365 da Microsoft receberam o que parecia ser e-mails de actualização de rotina sobre o estado das suas contas de utilizador. Estes e-mails provinham dos domínios das suas próprias organizações, solicitando aos utilizadores que redefinissem as suas palavras-passe ou que clicassem em ligações para ver notificações pendentes.

Compilámos uma lista de alguns dos títulos de correio electrónico que observámos estarem a ser utilizados:

  • Conta Microsoft actividade de início de sessão invulgar
  • Tem (3) Mensagens Pendentes de Entrega no seu e-Mail [email protected]* Portal!
  • [email protected] Tem Mensagens Pendentes do Microsoft Office UNSYNC
  • Reativação Notificação sumária para [email protected]

*detalhes da conta alterados para privacidade dos utilizadores

Também pode ver uma amostra de um cabeçalho de correio utilizado num e-mail falso enviado a uma companhia de seguros:

Recebido: de [malicioso_ip] (helo= malicioso_domínio)

id 1jK7RC-000uju-6x

para [email protected]; Qui, 02 Abr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recebido: de [xxxx] (porto=58502 helo=xxxxx)

por malicioso_domínio com esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipa de conta Microsoft" 

Para: [email protected]

Assunto: Notificação do Microsoft Office para [email protected] em 4/1/2020 23:46

Data: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Versão: 1.0

Content-Type: text/html;

charset="utf-8″

Codificação de conteúdo-transferência-codificação: citação-printável

X-AntiAbuse: Este cabeçalho foi adicionado para rastrear abusos, por favor inclua-o com qualquer relatório de abuso

X-AntiAbuse: Nome do Anfitrião Primário - malicioso_domínio

X-AntiAbuse: Domínio original - domain.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Endereço do remetente Domínio - domain.com

X-Get-Message-Sender-Via: malicioso_domínioauthenticated_id: [email protected]_domain

Emissor X-Autenticado: malicious_domain: [email protected]_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Recebido-SPF: falha ( domínio de domínio.com não designa malicioso_ip_address como remetente permitido) client-ip= malicioso_ip_address ; envelope-from=[email protected]; helo=malicioso_domínio;

X-SPF-Result: domínio de domain.com não designa malicioso_ip_address como remetente permitido

Aviso ao Remetente-X: A pesquisa DNS inversa falhou para malicioso_ip_address (falhado)

X-DKIM-Status: nenhum / / domain.com / / /

X-DKIM-Status: passe / / malicioso_domínio / malicioso_domínio / / por defeito

 

O nosso Centro de Operações de Segurança rastreou os links de correio electrónico para URLs de phishing que visavam os utilizadores do Microsoft Office 365. Os URLs foram redireccionados para sítios comprometidos em diferentes locais do mundo.

Olhando simplesmente para esses títulos de correio electrónico, seria impossível dizer que foram enviados por alguém que falsificou o domínio da sua organização. Estamos habituados a um fluxo constante de trabalho ou emails relacionados com contas, o que nos leva a entrar em vários serviços online, tal como o Office 365. A falsificação de domínios tira partido disso, tornando os seus e-mails falsos e maliciosos indistinguíveis dos e-mails genuínos. Não há praticamente forma de saber, sem uma análise minuciosa do e-mail, se este provém de uma fonte de confiança. E com dezenas de e-mails que chegam todos os dias, ninguém tem tempo para escrutinar cuidadosamente cada um deles. A única solução seria utilizar um mecanismo de autenticação que verificasse todos os e-mails enviados a partir do seu domínio, e bloquear apenas aqueles que foram enviados por alguém que o enviou sem autorização.

Esse mecanismo de autenticação é chamado DMARC. E como um dos principais fornecedores de soluções de segurança de correio electrónico no mundo, nós no PowerDMARC fizemos questão de o fazer compreender a importância de proteger o domínio da sua organização. Não apenas para si, mas para todos os que confiam e dependem de si para entregar e-mails seguros e fiáveis na sua caixa de entrada, de cada vez.

Pode ler sobre os riscos de falsificação aqui: https://powerdmarc.com/stop-email-spoofing/

Descubra como pode proteger o seu domínio contra a falsificação e impulsionar a sua marca aqui: https://powerdmarc.com/what-is-dmarc/

 

/por

Como os atacantes estão a usar o Coronavírus para o enganar

Enquanto organizações criam fundos de caridade em todo o mundo para combater o Covid-19, um tipo diferente de batalha está a ser travado nas condutas electrónicas da Internet. Milhares de pessoas em todo o mundo têm sido vítimas de fraudes por correio electrónico e de fraudes por correio electrónico covid-19 durante a pandemia do coronavírus. É cada vez mais comum ver os cibercriminosos utilizarem nomes de domínio reais destas organizações nos seus e-mails para parecerem legítimos.

No mais recente esquema de alta visibilidade do coronavírus, um e-mail supostamente da Organização Mundial de Saúde (OMS) foi enviado em todo o mundo, solicitando doações para o Fundo de Resposta Solidária. O endereço do remetente era '[email protected]', onde 'who.int' é o verdadeiro nome de domínio para a OMS. O e-mail foi confirmado como sendo um esquema de phishing, mas à primeira vista, todos os sinais indicavam que o remetente era genuíno. Afinal de contas, o domínio pertencia ao verdadeiro WHO.

doar fundo de resposta

No entanto, este tem sido apenas um de uma série crescente de esquemas de phishing que utilizam e-mails relacionados com o coronavírus para roubar dinheiro e informação sensível das pessoas. Mas se o remetente está a utilizar um nome de domínio real, como podemos distinguir um e-mail legítimo de um falso? Porque é que os cibercriminosos são tão facilmente capazes de empregar a falsificação do domínio do correio electrónico numa organização tão grande?

E como é que entidades como WHO descobrem quando alguém está a usar o seu domínio para lançar um ataque de phishing?

O e-mail é a ferramenta de comunicação empresarial mais utilizada no mundo, mas é um protocolo completamente aberto. Por si só, há muito pouco para controlar quem envia que e-mails e de que endereço de e-mail. Isto torna-se um enorme problema quando os atacantes se disfarçam de marca ou figura pública de confiança, pedindo às pessoas que lhes dêem o seu dinheiro e informações pessoais. De facto, mais de 90% de todas as violações de dados de empresas nos últimos anos envolveram phishing por correio electrónico de uma forma ou de outra. E a falsificação do domínio do correio electrónico é uma das principais causas disso.

Num esforço para proteger o correio electrónico, foram desenvolvidos protocolos como o Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM ). O SPF verifica o endereço IP do remetente com uma lista aprovada de endereços IP, e o DKIM utiliza uma assinatura digital encriptada para proteger o correio electrónico. Embora ambos sejam individualmente eficazes, ambos têm o seu próprio conjunto de falhas. DMARC, que foi desenvolvido em 2012, é um protocolo que utiliza autenticação tanto SPF como DKIM para proteger o correio electrónico, e tem um mecanismo que envia ao proprietário do domínio um relatório sempre que um correio electrónico falha a validação do DMARC.

Isto significa que o proprietário do domínio é notificado sempre que um e-mail enviado por um terceiro não autorizado. E crucialmente, podem dizer ao destinatário do e-mail como lidar com o correio não autenticado: deixá-lo ir para a caixa de entrada, colocá-lo em quarentena, ou rejeitá-lo imediatamente. Em teoria, isto deve impedir que o mau correio electrónico inunde as caixas de entrada das pessoas e reduzir o número de ataques de phishing que enfrentamos. Então porque não o faz?

Pode o DMARC Prevenir a Falsificação de Domínios e a Covid-19 Evitar Golpes de E-mail?

A autenticação de e-mail exige que os domínios remetentes publiquem os seus registos SPF, DKIM e DMARC no DNS. De acordo com um estudo, apenas 44,9% dos domínios Alexa top 1 milhão tinham um registo SPF válido publicado em 2018, e tão pouco quanto 5,1% tinham um registo DMARC válido. E isto apesar do facto de os domínios sem autenticação DMARC sofrerem de falsificação quase quatro vezes mais do que os domínios que são seguros. Há uma falta de implementação séria de DMARC em todo o panorama empresarial, e não tem melhorado muito ao longo dos anos. Mesmo organizações como a UNICEF ainda não implementaram o DMARC com os seus domínios, e a Casa Branca e o Departamento de Defesa dos EUA têm ambos uma política de DMARC de p = nenhum, o que significa que não estão a ser aplicados.

Um inquérito conduzido por peritos da Virginia Tech trouxe à luz algumas das mais sérias preocupações citadas pelas principais empresas e negócios que ainda não utilizaram a autenticação DMARC:

  1. Dificuldades de implantação: A aplicação rigorosa dos protocolos de segurança significa frequentemente um elevado nível de coordenação nas grandes instituições, para as quais muitas vezes não dispõem de recursos. Além disso, muitas organizações não têm muito controlo sobre os seus DNS, pelo que a publicação de registos DMARC torna-se ainda mais difícil.
  2. Benefícios que não superam os custos: A autenticação DMARC tem normalmente benefícios directos para o destinatário do correio electrónico e não para o proprietário do domínio. A falta de motivação séria para adoptar o novo protocolo tem impedido muitas empresas de incorporar o DMARC nos seus sistemas.
  3. Risco de Quebra do Sistema Existente: A relativa novidade do DMARC torna-o mais propenso a uma implementação imprópria, o que faz surgir o risco muito real de e-mails legítimos não serem recebidos. As empresas que dependem da circulação do correio electrónico não se podem dar ao luxo de ter isso a acontecer, e por isso não se incomodam em adoptar o DMARC de todo.

Reconhecendo porque precisamos de DMARC

Embora as preocupações expressas pelas empresas no inquérito tenham um mérito óbvio, isso não torna a implementação do DMARC menos imperativa para a segurança do correio electrónico. Quanto mais tempo as empresas continuarem a funcionar sem um domínio DMARC-autenticado, mais todos nós nos expomos ao perigo muito real de ataques de phishing por correio electrónico. Como os esquemas de falsificação de emails do coronavírus nos ensinaram, ninguém está a salvo de ser alvo ou imitado. Pense no DMARC como uma vacina - à medida que o número de pessoas que o utilizam aumenta, as hipóteses de apanhar uma infecção diminuem drasticamente.

Existem soluções reais e viáveis para este problema que podem ultrapassar as preocupações das pessoas relativamente à adopção do DMARC. Aqui estão apenas algumas que poderiam impulsionar a implementação por uma grande margem:

  1. Redução do Atrito na Implementação: O maior obstáculo no caminho de uma empresa que adopta o DMARC são os custos de implementação associados ao mesmo. A economia está no marasmo e os recursos são escassos. É por isso que o PowerDMARC juntamente com os nossos parceiros industriais Global Cyber Alliance (GCA) têm o orgulho de anunciar uma oferta de tempo limitado durante a pandemia de Covid-19 - 3 meses do nosso conjunto completo de aplicações, implementação de DMARC e serviços anti-spoofing, completamente gratuitos. Prepare a sua solução DMARC em minutos e comece já a monitorizar os seus e-mails utilizando o PowerDMARC.
  2. Melhorar a utilidade percebida: Para que o DMARC tenha um grande impacto na segurança do correio electrónico, é necessária uma massa crítica de utilizadores para publicar os seus registos SPF, DKIM e DMARC. Ao recompensar os domínios autenticados DMARC com um ícone 'Trusted' ou 'Verified' (como com a promoção do HTTPS entre websites), os proprietários de domínios podem ser incentivados a obter uma reputação positiva para o seu domínio. Uma vez atingido um determinado limiar, os domínios protegidos por DMARC serão vistos de forma mais favorável do que os que não o são.
  3. Implantação simplificada: Ao facilitar a implementação e configuração de protocolos anti-spoofing, mais domínios serão aceitáveis para autenticação DMARC. Uma forma de o fazer é permitir que o protocolo funcione num "modo de monitorização", permitindo aos administradores de correio electrónico avaliar o impacto que tem nos seus sistemas antes de procederem a uma implantação completa.

Cada nova invenção traz consigo novos desafios. Cada novo desafio obriga-nos a encontrar uma nova forma de o superar. O DMARC já existe há alguns anos, mas o phishing já existe há muito mais tempo. Nas últimas semanas, a pandemia de Covid-19 apenas lhe deu uma nova face. No PowerDMARC, estamos aqui para o ajudar a enfrentar este novo desafio de frente. Inscreva-se aqui para o seu analisador DMARC gratuito, para que enquanto ficar em casa a salvo do coronavírus, o seu domínio esteja a salvo da falsificação de e-mails.

/por