Como detetar anexos Zip Bomb em e-mails de spam?

Blog

Descubra estratégias eficazes para detetar Zip Bombs nos seus e-mails de spam e saiba como defender os dispositivos contra eles.

por Ahona Rudra

Tempo de leitura: 6 min
Como detetar anexos Zip Bomb em e-mails de spam?
Índice-

Quer esteja a trabalhar oficialmente ou a ter informações pessoais online, os dados têm de ser protegidos contra ciberataques. A entrega de vírus e bombas Zip através de mensagens de correio eletrónico sempre foi a atividade preferida dos burlões.

As Zip Bombs também são chamadas de Zip of death ou bombas de descompressão. Trata-se de ficheiros arquivados de apenas alguns kilobytes, que parecem ter um funcionamento normal, mas que mais tarde atacam o sistema e desactivam os dispositivos. Estes ficheiros são normalmente espalhados através de anexos de correio eletrónico. 

Por isso, é necessário verificar os e-mails de spam e excluir qualquer Zip Bombs associado. Este artigo irá ajudá-lo a detetar Zip Bombs indesejados em e-mails de spam para evitar que os dispositivos falhem e melhorar a segurança do correio eletrónico.

Takeaways de chaves

  1. As Zip Bombs podem parecer inofensivas, mas podem avariar dispositivos ao sobrecarregar a sua memória e armazenamento quando descomprimidas.
  2. A deteção baseada no comportamento ajuda a identificar Zip Bombs monitorizando a atividade invulgar durante o processo de descompactação.
  3. A aprendizagem automática e a IA podem melhorar as capacidades de deteção para identificar anexos nocivos em mensagens de correio eletrónico não solicitado.
  4. Os filtros de correio eletrónico fornecidos por serviços de correio eletrónico fiáveis podem detetar e assinalar automaticamente potenciais ameaças antes de estas chegarem aos utilizadores.
  5. A utilização de ambientes sandbox para abrir ficheiros suspeitos pode impedir que o malware afecte os dispositivos primários.

O que é um Zip Bomb?

Os Zip Bombs são ficheiros de arquivo maliciosos que interferem com o funcionamento normal do seu dispositivo se os abrir. Também são vulgarmente designados por "zip of death (ZOD)" e "decompression bomn". Estes ficheiros podem ser encontrados em qualquer lugar online e são muitas vezes distribuídos por hackers através de e-mails.

À primeira vista, as Zip Bombs podem parecer um ficheiro .zip inofensivo, no entanto, uma vez descomprimido, pode fazer com que os dispositivos falhem ao colocar uma quantidade excessiva de carga no disco rígido, o que pode ser demasiado para o dispositivo aguentar. As bombas Zip também são conhecidas como bombas de descompressão, pois muitas vezes parecem ter apenas alguns bytes de dados. No entanto, contêm um conjunto de dados muito maior que tem a capacidade de fazer crashar os discos rígidos.

Proteja-se contra bombas Zip com PowerDMARC!

Teste grátis 15 diasMarcar demo

Como é que os anexos Zip Bomb funcionam?

As Zip Bombs destroem os algoritmos de compressão ao comprimirem uma pequena quantidade de dados num pequeno ficheiro de arquivo. Quando estes dados são descomprimidos, expandem-se para milhares de bytes. Estes dados exponenciais podem crescer até gigabytes ou kilobytes, sobrecarregando os discos rígidos com uma carga extensa.

Bombas Zip recursivas

Uma bomba zip recursiva é um tipo de ficheiro malicioso em que muitas camadas de ficheiros comprimidos estão ligadas umas às outras. Funciona através da ativação de uma cadeia de ficheiros. Isto cria camadas aninhadas, também conhecidas como zip quines. Sempre que uma pessoa tenta descomprimir uma bomba zip recursiva, o computador fica sobrecarregado com muitas camadas de ficheiros. Isso faz com que as aplicações ou, por vezes, o computador, falhem.

Bombas Zip não recursivas

As bombas zip não recursivas, ao contrário das recursivas, podem sobrepor ficheiros para comprimir mais dados numa única camada. Isso significa que, em vez de descomprimir cada camada, a bomba zip descomprime tudo de uma vez e expande todo o seu potencial de uma só vez! Isto torna-as num ataque de bombas zip muito mais destrutivo e poderoso. 

Identificar bombas Zip em e-mails de spam

Para proteção do sistema, os anexos de bombas zip devem ser detectados em e-mails de spam. Aqui estão dois métodos para identificar ficheiros maliciosos na sua pasta de spam.

Deteção baseada no comportamento

Deve observar o comportamento dos ficheiros enquanto os descompacta. Os ficheiros com bombas de zip causam frequentemente actividades invulgares. Estes ficheiros podem utilizar muito espaço de memória no computador, mesmo quando parecem pequenos, ou utilizar muitos recursos do computador para descompactar.

Para evitar os danos causados pelas bombas zip, alguns softwares e sistemas actualizados detectam estes padrões invulgares. Por conseguinte, os sistemas podem tomar medidas antes de serem causados quaisquer danos.

Implementação de técnicas de aprendizagem automática e de IA

A aprendizagem automática e a inteligência artificial também podem ajudar a detetar ficheiros indesejados nos sistemas. Os modelos de IA podem ser treinados em grandes conjuntos de dados para detetar ameaças causadas por zip bombs em e-mails de spam. Com a aprendizagem automática, é fácil detetar e classificar anexos de bombas zip para proteger contra ameaças.

Reconhecer anexos de bombas Zip

Aqui estão algumas das formas de detetar anexos Zip Bomb em e-mails de spam.

Tipos de ficheiros normalmente utilizados em bombas zip

Embora não exista um tamanho de ficheiro específico associado às bombas Zip, a maioria dos documentos e ficheiros enviados como bombas de descompressão utilizam alguns Gigabytes. Quando encontrados, estes ficheiros podem parecer demasiado pequenos. Por isso, é essencial estar atento a qualquer ficheiro que não apresente o tamanho correto antes de o descomprimir. 

  • Os vídeos que são enviados como anexos de bombas zip têm normalmente uma resolução de 4K e podem utilizar dados de transferência elevados, mesmo que sejam de alguns minutos.
  • As imagens têm normalmente a forma de uma única fotografia de alta resolução. Podem parecer tão pequenas como 2 megabytes ou tão grandes como 40 megabytes.
  • Um anexo PDF de uma bomba Zip tem, na sua maioria, 10 kilobytes. No entanto, o seu tamanho varia muito consoante as páginas e a formatação.

Software antivírus e anti-malware

Vários programas antivírus funcionam bem para detetar quaisquer anexos de correio eletrónico invulgares e impedi-los de bloquear os sistemas. Os ficheiros podem ser verificados com os softwares Norton 360, Kaspersky ou Quickheal Security antes de os descomprimir. Funcionam como ferramentas fortes para analisar a estrutura do ficheiro, as ferramentas de compressão e os ficheiros maliciosos. Um software anti-malware fiável e autêntico vigia o possível malware anexado aos e-mails.

Rácios de compressão

Para reconhecer as bombas Zip não recursivas, a identificação dos rácios de compressão ajuda muito. Este tipo de bombas Zip utiliza rácios de compressão de dados elevados. Normalmente é de 1032 para um. Além disso, muitas bombas Zip utilizam um único kernel para todos os ficheiros, atingindo rácios de milhões para um. Um Kernel refere-se ao conteúdo comprimido de um ficheiro.

Melhores práticas contra ataques Zip Bomb

É importante manter a segurança do correio eletrónico actualizada com os passos certos. Eis o que pode fazer para proteger a sua caixa de entrada contra malware e ficheiros anexos Zip Bomb.

Utilizar filtros de correio eletrónico

Muitos dos fornecedores de correio eletrónico autênticos oferecem fortes características de segurança. Estas incluem vários filtros que analisam os e-mails recebidos e detectam potenciais ameaças de falsificação. Estes filtros podem detetar qualquer ficheiro indesejado na caixa de correio, normalmente na pasta de spam. Podem até avaliar o rácio de compressão dos anexos fraudulentos e sinalizá-los como anexos de alto risco.

Utilizar aplicações seguras para abrir ficheiros

Utilize um ambiente de sandbox protegido para descomprimir os seus ficheiros. Este método requer a adoção de alguns passos técnicos. É onde pode testar um ficheiro antes de o executar no seu dispositivo. Isto isola o ficheiro do dispositivo real. É assim que pode ajudar a detetar o malware antes de o abrir no dispositivo principal.

Utilização de protocolos de autenticação de correio eletrónico

Alguns dos protocolos de autenticação de correio eletrónico reconhecidos, como SPF, DKIM e DMARC funcionam bem na proteção de e-mails enviados do seu próprio domínio contra falsificação e personificação. Os e-mails de phishing enviados a partir do seu domínio falsificado também podem incluir anexos Zip Bomb. Isto pode causar grandes perturbações no negócio e arruinar a sua reputação.

O DMARC permite-lhe tomar decisões baseadas em políticas para o tratamento de mensagens de correio eletrónico que não passam nas verificações SPF ou DKIM. Ele pode aplicar políticas rígidas e verificações de alinhamento para bloquear anexos de email maliciosos. O PowerDMARC permite monitorar os dados de autenticação de email em uma interface fácil de usar e mudar para uma política DMARC com segurança para seus domínios.

Para Concluir

Detetar anexos de bombas zip em e-mails de spam é crucial para proteger os seus activos de ameaças maliciosas. Mantendo-se vigilante e reconhecendo os sinais - como tamanhos de ficheiro invulgarmente grandes, remetentes suspeitos e anexos inesperados - pode evitar os potenciais danos que estes ficheiros nocivos podem causar. 

Lembre-se de utilizar sempre software de segurança atualizado e de se informar sobre as tácticas de phishing mais comuns. Ao fazê-lo, não só protege os seus dados pessoais, como também contribui para uma comunidade em linha mais segura. Seja cauteloso, mantenha-se informado e mantenha o seu mundo digital seguro.

Últimos posts de Ahona Rudra (ver todos)
Códigos de erro SMTP explicadosCódigos de erro SMTPComo proteger os seus domínios onmicrosoft.com contra ataques de falsificação?