empresas de seguros

O e-mail é muitas vezes a primeira escolha para um cibercriminoso, quando estão a lançar, porque é muito fácil de explorar. Ao contrário dos ataques de força bruta, que são pesados no poder de processamento, ou métodos mais sofisticados que requerem um alto nível de habilidade, a falsificação de domínios pode ser tão fácil como escrever um e-mail fingindo ser outra pessoa. Em muitos casos, essa "outra pessoa" é uma importante plataforma de serviço de software em que as pessoas dependem para fazer o seu trabalho.

Foi o que aconteceu entre 15 e 30 de Abril de 2020, quando os nossos analistas de segurança no PowerDMARC descobriram uma nova onda de e-mails de phishing que visavam as principais companhias de seguros do Médio Oriente. Este ataque tem sido apenas um entre muitos outros no recente aumento de casos de phishing e falsificação durante a crise do Covid-19. Já em Fevereiro de 2020, outro grande esquema de phishing chegou ao ponto de se fazer passar pela Organização Mundial de Saúde, enviando e-mails a milhares de pessoas pedindo doações para o alívio do coronavírus.

Nesta recente série de incidentes, os utilizadores do serviço Office 365 da Microsoft receberam o que parecia ser e-mails de actualização de rotina sobre o estado das suas contas de utilizador. Estes e-mails provinham dos domínios das suas próprias organizações, solicitando aos utilizadores que redefinissem as suas palavras-passe ou que clicassem em ligações para ver notificações pendentes.

Compilámos uma lista de alguns dos títulos de correio electrónico que observámos estarem a ser utilizados:

  • Conta Microsoft actividade de início de sessão invulgar
  • Tem (3) Mensagens Pendentes de Entrega no seu e-Mail [email protected]* Portal!
  • [email protected] Tem Mensagens Pendentes do Microsoft Office UNSYNC
  • Reativação Notificação sumária para [email protected]

*detalhes da conta alterados para privacidade dos utilizadores

Também pode ver uma amostra de um cabeçalho de correio utilizado num e-mail falso enviado a uma companhia de seguros:

Recebido: de [malicioso_ip] (helo= malicioso_domínio)

id 1jK7RC-000uju-6x

para [email protected]; Qui, 02 Abr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recebido: de [xxxx] (porto=58502 helo=xxxxx)

por malicioso_domínio com esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipa de conta Microsoft" 

Para: [email protected]

Assunto: Notificação do Microsoft Office para [email protected] em 4/1/2020 23:46

Data: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Versão: 1.0

Content-Type: text/html;

charset="utf-8″

Codificação de conteúdo-transferência-codificação: citação-printável

X-AntiAbuse: Este cabeçalho foi adicionado para rastrear abusos, por favor inclua-o com qualquer relatório de abuso

X-AntiAbuse: Nome do Anfitrião Primário - malicioso_domínio

X-AntiAbuse: Domínio original - domain.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Endereço do remetente Domínio - domain.com

X-Get-Message-Sender-Via: malicioso_domínioauthenticated_id: [email protected]_domain

Emissor X-Autenticado: malicious_domain: [email protected]_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Recebido-SPF: falha ( domínio de domínio.com não designa malicioso_ip_address como remetente permitido) client-ip= malicioso_ip_address ; envelope-from=[email protected]omain.com; helo=malicioso_domínio;

X-SPF-Result: domínio de domain.com não designa malicioso_ip_address como remetente permitido

Aviso ao Remetente-X: A pesquisa DNS inversa falhou para malicioso_ip_address (falhado)

X-DKIM-Status: nenhum / / domain.com / / /

X-DKIM-Status: passe / / malicioso_domínio / malicioso_domínio / / por defeito

 

O nosso Centro de Operações de Segurança rastreou os links de correio electrónico para URLs de phishing que visavam os utilizadores do Microsoft Office 365. Os URLs foram redireccionados para sítios comprometidos em diferentes locais do mundo.

Olhando simplesmente para esses títulos de correio electrónico, seria impossível dizer que foram enviados por alguém que falsificou o domínio da sua organização. Estamos habituados a um fluxo constante de trabalho ou emails relacionados com contas, o que nos leva a entrar em vários serviços online, tal como o Office 365. A falsificação de domínios tira partido disso, tornando os seus e-mails falsos e maliciosos indistinguíveis dos e-mails genuínos. Não há praticamente forma de saber, sem uma análise minuciosa do e-mail, se este provém de uma fonte de confiança. E com dezenas de e-mails que chegam todos os dias, ninguém tem tempo para escrutinar cuidadosamente cada um deles. A única solução seria utilizar um mecanismo de autenticação que verificasse todos os e-mails enviados a partir do seu domínio, e bloquear apenas aqueles que foram enviados por alguém que o enviou sem autorização.

Esse mecanismo de autenticação é chamado DMARC. E como um dos principais fornecedores de soluções de segurança de correio electrónico no mundo, nós no PowerDMARC fizemos questão de o fazer compreender a importância de proteger o domínio da sua organização. Não apenas para si, mas para todos os que confiam e dependem de si para entregar e-mails seguros e fiáveis na sua caixa de entrada, de cada vez.

Pode ler sobre os riscos de falsificação aqui: https://powerdmarc.com/stop-email-spoofing/

Descubra como pode proteger o seu domínio contra a falsificação e impulsionar a sua marca aqui: https://powerdmarc.com/what-is-dmarc/