O e-mail é muitas vezes a primeira escolha para um cibercriminoso, quando estão a lançar, porque é muito fácil de explorar. Ao contrário dos ataques de força bruta, que são pesados no poder de processamento, ou métodos mais sofisticados que requerem um alto nível de habilidade, a falsificação de domínios pode ser tão fácil como escrever um e-mail fingindo ser outra pessoa. Em muitos casos, essa "outra pessoa" é uma importante plataforma de serviço de software em que as pessoas dependem para fazer o seu trabalho.

Foi o que aconteceu entre 15 e 30 de abril de 2020, quando os nossos analistas de segurança da PowerDMARC descobriram uma nova vaga de e-mails de phishing dirigidos às principais empresas de seguros do Médio Oriente. Este ataque foi apenas um entre muitos outros no recente aumento de casos de phishing e spoofing durante a crise da Covid-19. Já em fevereiro de 2020, um outro grande esquema de phishing chegou ao ponto de se fazer passar pela Organização Mundial de Saúde, enviando e-mails a milhares de pessoas a pedir donativos para ajudar a combater o coronavírus.

empresas de seguros

Nesta recente série de incidentes, os utilizadores do serviço Office 365 da Microsoft receberam o que parecia ser e-mails de actualização de rotina sobre o estado das suas contas de utilizador. Estes e-mails provinham dos domínios das suas próprias organizações, solicitando aos utilizadores que redefinissem as suas palavras-passe ou que clicassem em ligações para ver notificações pendentes.

Compilámos uma lista de alguns dos títulos de correio electrónico que observámos estarem a ser utilizados:

Conta Microsoft actividade de início de sessão invulgar
Tem (3) Mensagens Pendentes de Entrega no seu e-Mail [email protected]* Portal!
user@domain Tem Mensagens Pendentes do Microsoft Office UNSYNC
Reativação Notificação sumária para [email protected]

*detalhes da conta alterados para privacidade dos utilizadores

Também pode ver uma amostra de um cabeçalho de correio utilizado num e-mail falso enviado a uma companhia de seguros:

Recebido: de [malicioso_ip] (helo= malicioso_domínio)

id 1jK7RC-000uju-6x

para [email protected]; Qui, 02 Abr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recebido: de [xxxx] (porto=58502 helo=xxxxx)

por malicioso_domínio com esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipa de conta Microsoft"

Para: [email protected]

Assunto: Notificação do Microsoft Office para [email protected] em 4/1/2020 23:46

Data: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Versão: 1.0

Content-Type: text/html;

charset="utf-8″

Codificação de conteúdo-transferência-codificação: citação-printável

X-AntiAbuse: Este cabeçalho foi adicionado para rastrear abusos, por favor inclua-o com qualquer relatório de abuso

X-AntiAbuse: Nome do Anfitrião Primário - malicioso_domínio

X-AntiAbuse: Domínio original - domain.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Endereço do remetente Domínio - domain.com

X-Get-Message-Sender-Via: malicioso_domínioauthenticated_id: admin@malicious_domain

Emissor X-Autenticado: malicious_domain: admin@malicious_domain

X-Source:

X-Source-Args:

X-Source-Dir:

Recebido-SPF: falha ( domínio de domínio.com não designa malicioso_ip_address como remetente permitido) client-ip= malicioso_ip_address ; envelope-from=[email protected]; helo=malicioso_domínio;

X-SPF-Result: domínio de domain.com não designa malicioso_ip_address como remetente permitido

Aviso ao Remetente-X: A pesquisa DNS inversa falhou para malicioso_ip_address (falhado)

X-DKIM-Status: nenhum / / domain.com / / /

X-DKIM-Status: passe / / malicioso_domínio / malicioso_domínio / / por defeito

O nosso Centro de Operações de Segurança rastreou os links de correio electrónico para URLs de phishing que visavam os utilizadores do Microsoft Office 365. Os URLs foram redireccionados para sítios comprometidos em diferentes locais do mundo.

Olhando simplesmente para esses títulos de correio electrónico, seria impossível dizer que foram enviados por alguém que falsificou o domínio da sua organização. Estamos habituados a um fluxo constante de trabalho ou emails relacionados com contas, o que nos leva a entrar em vários serviços online, tal como o Office 365. A falsificação de domínios tira partido disso, tornando os seus e-mails falsos e maliciosos indistinguíveis dos e-mails genuínos. Não há praticamente forma de saber, sem uma análise minuciosa do e-mail, se este provém de uma fonte de confiança. E com dezenas de e-mails que chegam todos os dias, ninguém tem tempo para escrutinar cuidadosamente cada um deles. A única solução seria utilizar um mecanismo de autenticação que verificasse todos os e-mails enviados a partir do seu domínio, e bloquear apenas aqueles que foram enviados por alguém que o enviou sem autorização.

Esse mecanismo de autenticação é chamado DMARC. E como um dos principais fornecedores de soluções de segurança de e-mail do mundo, nós da PowerDMARC temos como missão fazer com que você entenda a importância de proteger o domínio da sua organização. Não só para si, mas para todos os que confiam e dependem de si para entregar e-mails seguros e fiáveis na sua caixa de entrada, sempre.

Pode ler sobre os riscos da falsificação aqui: https://powerdmarc.com/stop-email-spoofing/

Descubra como pode proteger o seu domínio contra a falsificação e impulsionar a sua marca aqui: https://powerdmarc.com/what-is-dmarc/

Sobre
Últimos Posts

Ahona Rudra

Especialista em segurança de domínios e e-mails da PowerDMARC

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

Estudo de caso DMARC MSP: CloudTech24 simplifica o gerenciamento de segurança de domínios para clientes com o PowerDMARC - 24 de outubro de 2024
Os riscos de segurança do envio de informações confidenciais por correio eletrónico - 23 de outubro de 2024
5 tipos de fraudes de e-mail da Segurança Social e como evitá-las - 3 de outubro de 2024

Como os esquemas de Phishing estão a utilizar o Office 365 para alvejar as empresas de seguros

Ferramentas

Produto

Empresa