Correios

Sabe qual é o pior tipo de esquema de phishing? Do tipo que não se pode simplesmente ignorar: como a fraude de CEO. E-mails supostamente enviados pelo governo, dizendo-lhe para fazer esse pagamento pendente relacionado com impostos ou arriscar uma acção legal. E-mails que parecem ser enviados pela sua escola ou universidade, pedindo-lhe que pague aquela propina que não pagou. Ou mesmo uma mensagem do seu chefe ou CEO, dizendo-lhe para os transferir algum dinheiro "como um favor".

O problema com e-mails como este é que eles estão a fazer-se passar por uma figura de autoridade, quer seja o governo, o seu conselho universitário, ou o seu chefe no trabalho. Estas são pessoas importantes, e ignorar as suas mensagens terá quase de certeza consequências graves. Por isso, é obrigado a olhar para elas, e se parecer suficientemente convincente, poderá cair na realidade.

Mas vejamos a fraude do CEO. O que é exactamente? Pode acontecer-lhe a si? E se pode, o que deve fazer para o impedir?

Não está imune à fraude do CEO

Um esquema de 2,3 mil milhões de dólares por ano é o que é. Pode estar a pensar: "O que poderia fazer com que as empresas perdessem tanto dinheiro com um simples esquema de correio electrónico? Mas ficaria surpreendido com o quão convincentes podem ser os e-mails de fraude de CEO.

Em 2016, a Mattel quase perdeu 3 milhões de dólares para um ataque de phishing quando um executivo financeiro recebeu um e-mail do CEO, instruindo-a a enviar um pagamento a um dos seus vendedores na China. Mas foi só depois de verificar mais tarde com o CEO que ela se apercebeu que ele nunca tinha enviado o e-mail. Felizmente, a empresa trabalhou com a polícia na China e nos EUA para recuperar o seu dinheiro alguns dias mais tarde, mas isso quase nunca acontece com estes ataques.

As pessoas tendem a acreditar que estes esquemas não lhes acontecerão... até que isso lhes aconteça. E esse é o seu maior erro: não se prepararem para a fraude do CEO.

Os esquemas de phishing não só podem custar à sua organização milhões de dólares, como também podem ter um impacto duradouro na reputação e credibilidade da sua marca. Corre o risco de ser visto como a empresa que perdeu dinheiro com um esquema de correio electrónico e de perder a confiança dos seus clientes cujas informações pessoais sensíveis armazena.

Em vez de se misturar para fazer o controlo de danos após o facto, faz muito mais sentido proteger os seus canais de correio electrónico contra golpes de phishing de lança como este. Eis algumas das melhores formas de garantir que a sua organização não se torne uma estatística no relatório do FBI sobre BEC.

Como prevenir a fraude do CEO: 6 passos simples

  1. Eduque o seu pessoal sobre segurança
    Este é absolutamente crítico. Os membros da sua força de trabalho - e especialmente os financeiros - precisam de compreender como funciona o Business Email Compromise. E não nos referimos apenas a uma apresentação aborrecida de 2 horas sobre não escrever a sua palavra-passe numa nota post-it. Precisa de os treinar sobre como procurar sinais suspeitos de que um e-mail é falso, procurar endereços de e-mail falsos, e pedidos anormais que outros membros do pessoal parecem estar a fazer através do e-mail.
  2. Cuidado com os sinais indicadores de falsificação
    Os golpistas de correio electrónico utilizam todo o tipo de tácticas para o levar a cumprir os seus pedidos. Estas podem variar desde pedidos/instruções urgentes a transferências de dinheiro como forma de o levar a agir rapidamente e sem pensar, ou mesmo pedir acesso a informação confidencial para um "projecto secreto" que os superiores ainda não estão prontos para partilhar consigo. Estas são bandeiras vermelhas sérias, e é necessário verificar duas ou três vezes antes de tomar qualquer acção.
  3. Fique protegido com DMARC
    A maneira mais fácil de evitar um esquema de phishing é nunca receber sequer o e-mail em primeiro lugar. DMARC é um protocolo de autenticação de correio electrónico que verifica as mensagens electrónicas provenientes do seu domínio antes de as entregar. Quando aplicar o DMARC no seu domínio, qualquer atacante que se faça passar por alguém da sua própria organização será detectado como remetente não autorizado, e o seu correio electrónico será bloqueado da sua caixa de entrada. Não tem de lidar com e-mails falsificados.
  4. Obter aprovação explícita para transferências electrónicas
    Esta é uma das formas mais fáceis e directas de impedir transferências de dinheiro para as pessoas erradas. Antes de se comprometer em qualquer transacção, tornar obrigatório o pedido de aprovação explícita por parte da pessoa que solicita o dinheiro, utilizando outro canal para além do correio electrónico. Para transferências bancárias maiores, tornar obrigatória a recepção de confirmação verbal.
  5. Marcar e-mails com extensões semelhantes
    O FBI recomenda que a sua organização crie regras de sistema que assinalem automaticamente os e-mails que utilizam extensões demasiado semelhantes às suas. Por exemplo, se a sua empresa utiliza o '123-business.com', o sistema pode detectar e sinalizar e-mails utilizando extensões como '123_business.com'.
  6. Comprar nomes de domínio semelhantes
    Os atacantes utilizam frequentemente nomes de domínio com aspecto semelhante para enviar e-mails de phishing. Por exemplo, se a sua organização tiver um 'i' minúsculo no seu nome, podem usar um 'I' maiúsculo, ou substituir a letra 'E' pelo número '3'. Isto ajudá-lo-á a diminuir as suas hipóteses de alguém utilizar um nome de domínio extremamente semelhante para lhe enviar e-mails.

 

Como prestador de serviços DMARC, é-nos feita esta pergunta muitas vezes: "Se o DMARC apenas usa autenticação SPF e DKIM, porque nos devemos preocupar com o DMARC? Não será isso simplesmente desnecessário?"

Na superfície pode parecer que faz pouca diferença, mas a realidade é muito diferente. O DMARC não é apenas uma combinação de tecnologias SPF e DKIM, é um protocolo inteiramente novo por si só. Tem várias características que o tornam um dos mais avançados padrões de autenticação de correio electrónico do mundo, e uma necessidade absoluta para as empresas.

Mas espere um minuto. Ainda não respondemos exactamente porque precisa de DMARC. O que é que oferece que o SPF e o DKIM não oferecem? Bem, essa é uma resposta bastante longa; demasiado longa para apenas um post no blogue. Portanto, vamos dividi-lo e falar primeiro sobre SPF. Caso não esteja familiarizado com ele, aqui vai uma introdução rápida.

O que é SPF?

SPF, ou Sender Policy Framework, é um protocolo de autenticação de correio electrónico que protege o receptor de correio electrónico de e-mails falsificados. É essencialmente uma lista de todos os endereços IP autorizados a enviar correio electrónico através dos seus canais (o proprietário do domínio). Quando o servidor receptor vê uma mensagem do seu domínio, verifica o seu registo SPF que é publicado no seu DNS. Se o IP do remetente constar desta 'lista', o correio electrónico é entregue. Caso contrário, o servidor rejeita a mensagem de correio electrónico.

Como pode ver, o SPF faz um bom trabalho mantendo de fora muitos e-mails não solicitados que podem danificar o seu dispositivo ou comprometer os sistemas de segurança da sua organização. Mas SPF não é quase tão bom como algumas pessoas possam pensar. Isso é porque tem alguns inconvenientes muito importantes. Vamos falar de alguns destes problemas.

Limitações do FPS

Os registos SPF não se aplicam ao endereço From

Os e-mails têm múltiplos endereços para identificar o seu remetente: o endereço From que normalmente vê, e o endereço Return Path que está oculto e requer um ou dois cliques para ser visualizado. Com o SPF activado, o servidor de correio electrónico receptor analisa o Caminho de Retorno e verifica os registos SPF do domínio a partir desse endereço.

O problema aqui é que os atacantes podem explorar isto utilizando um domínio falso no seu endereço do Caminho de Retorno e um endereço de correio electrónico legítimo (ou com aspecto legítimo) na secção De. Mesmo que o receptor verificasse o endereço de correio electrónico do remetente, veria primeiro o endereço De, e normalmente não se preocupa em verificar o Caminho de Regresso. De facto, a maioria das pessoas nem sequer tem conhecimento de que existe uma coisa como o endereço do Caminho de Regresso.

SPF pode ser facilmente contornado usando este truque simples, e deixa até domínios seguros com SPF em grande parte vulneráveis.

Os registos SPF têm um limite de pesquisa DNS

Os registos SPF contêm uma lista de todos os endereços IP autorizados pelo proprietário do domínio para o envio de e-mails. No entanto, têm uma desvantagem crucial. O servidor receptor precisa de verificar o registo para ver se o remetente está autorizado, e para reduzir a carga no servidor, os registos SPF têm um limite de 10 consultas DNS.

Isto significa que se a sua organização utiliza múltiplos vendedores terceiros que enviam e-mails através do seu domínio, o registo SPF pode acabar por ultrapassar esse limite. A menos que seja devidamente optimizado (o que não é fácil de fazer por si próprio), os registos SPF terão um limite muito restritivo. Quando ultrapassa este limite, a implementação do SPF é considerada inválida e o seu correio electrónico falha o SPF. Isto pode potencialmente prejudicar as taxas de entrega do seu correio electrónico.

 

SPF nem sempre funciona quando o e-mail é reencaminhado

O SPF tem outro ponto crítico de falha que pode prejudicar a sua entregabilidade de correio electrónico. Quando tiver implementado o SPF no seu domínio e alguém encaminhar o seu correio electrónico, o correio electrónico encaminhado pode ser rejeitado devido à sua política SPF.

Isto porque a mensagem reencaminhada mudou o destinatário do e-mail, mas o endereço do remetente do e-mail permanece o mesmo. Isto torna-se um problema porque a mensagem contém o endereço original do remetente De mas o servidor receptor está a ver um IP diferente. O endereço IP do servidor de reencaminhamento de correio electrónico não está incluído no registo SPF do domínio do remetente original. Isto poderia resultar na rejeição da mensagem de correio electrónico pelo servidor receptor.

Como é que o DMARC resolve estas questões?

DMARC utiliza uma combinação de SPF e DKIM para autenticar o correio electrónico. Um e-mail precisa de passar por SPF ou DKIM para passar por DMARC e ser entregue com sucesso. E também acrescenta uma característica chave que o torna muito mais eficaz do que apenas o SPF ou o DKIM: Relatórios.

Com os relatórios DMARC, recebe diariamente feedback sobre o estado dos seus canais de correio electrónico. Isto inclui informação sobre o seu alinhamento DMARC, dados sobre emails que falharam a autenticação, e detalhes sobre potenciais tentativas de falsificação.

Se estiver a pensar no que pode fazer para não ser falsificado, consulte o nosso guia prático sobre as 5 principais formas de evitar a falsificação de e-mails.