ataque de imitação

Um ataque de imitação é uma tentativa de obter acesso não autorizado a sistemas de informação, disfarçando-se de utilizadores autorizados.

De acordo com Revista SecurityEntre o primeiro trimestre de 2020 e o primeiro trimestre de 2021, houve um aumento espantoso de 131% na caça à baleia e nas imitações de executivos, com 55% dos profissionais da cibersegurança a afirmar que um executivo da sua empresa foi falsificado. Estes ataques custaram às empresas 1,8 mil milhões de dólares em perdas, só no ano passado.

O problema é tão generalizado que 1 em cada 3.226 e-mails recebidos (uma vez a cada 24 dias) por um executivo é uma tentativa de imitação.

Neste artigo, expomos tudo o que precisa de saber sobre um ataque de imitação, os seus tipos, como detectá-los, e como defender a sua organização contra eles.

O que é um Ataque de Impersonificação?

Um Ataque de Impersonificação é uma forma de Engenharia Social em que um atacante finge ser outra pessoa ou faz-se passar por um utilizador legítimo (ou grupo de utilizadores), para obter acesso a informação que não está autorizado a ter.

Neste tipo de ataque, o atacante utilizará frequentemente técnicas de engenharia social para obter informações sobre o sistema e/ou alvo, como fazer-se passar por membro do departamento de TI e pedir credenciais de login.

Os ataques de imitação podem ser pessoalmente, por telefone, ou online. E podem ser catastróficos se não forem detectados.

Como é realizado um Ataque de Impersonificação?

A personificação é quando um actor malicioso finge ser um utilizador ou serviço legítimo para obter acesso a informação protegida. Os ataques de personificação são fáceis de realizar e podem ser muito prejudiciais, dependendo do tipo de dados que o atacante está a tentar obter.

Tudo o que um atacante precisa de fazer é reunir informação suficiente sobre um utilizador ou serviço legítimo para enganar outros a pensar que são quem dizem ser. O atacante tentará então obter o seu alvo (ou alvos) para revelar informações sensíveis que de outra forma estariam protegidas por medidas de segurança.

Em muitos casos, os atacantes utilizarão o correio electrónico ou outras formas de comunicação para tentar ataques de imitação. Enviarão emails fingindo ser outra pessoa (conhecido como spoofing), que podem incluir emails de phishing contendo links que descarregam malware para o sistema de um utilizador insuspeito.

Outro método utilizado pelos atacantes é conhecido como caça à baleia; isto envolve roubar a identidade de um gestor ou proprietário e enviar e-mails dirigidos a empregados para transferir fundos ou fornecer outras informações sensíveis. Uma vez que o correio electrónico parece ter tido origem em alguém numa posição de autoridade, muitos empregados seguiriam as instruções sem questionar.

Como estão planeados os ataques de imitação?

A fim de criar um plano para um ataque de imitação, os hackers precisam primeiro de recolher informações sobre o seu alvo. Utilizarão frequentemente informação disponível ao público, tais como perfis de meios de comunicação social e a informação disponível ao público no website da empresa. Os hackers podem utilizar esta informação para criar uma persona realista e começar a interagir com os empregados da empresa-alvo.

O hacker contactará os empregados utilizando métodos que estejam de acordo com o que se espera desta persona. O hacker pode enviar um e-mail, mensagem de texto, ou telefonar aos empregados utilizando um endereço de e-mail comercial falso ou um número de telefone que corresponda ao e-mail ou número de telefone real da empresa na medida do possível - a diferença existe, mas é quase invisível a olho nu.

Isto dá ao funcionário a sensação de que está a interagir com uma pessoa conhecida na sua organização.

Aqui está um exemplo de imitação de e-mail:

[email protected]

[email protected]

Como pode ver acima, as diferenças entre os dois e-mails são subtis e fáceis de perder, especialmente se estiver a receber centenas de e-mails por dia.

Assim que o hacker tiver ganho a confiança do empregado, enviar-lhes-á um e-mail que parece ser de uma fonte autêntica da empresa. Estes e-mails contêm frequentemente ligações a websites que pedem informações pessoais ou requerem acção por parte do empregado (por exemplo, ficheiros descarregados). Estes websites e ficheiros estão infectados com malware que permite aos hackers aceder a dados, roubar informações pessoais, ou introduzir outros ciberataques na rede da empresa.

Endereços de remetente forjados como estes são rejeitados através de um rigoroso Política DMARCque pode aproveitar para que os seus e-mails permaneçam protegidos contra ataques de imitação.

Algumas Tácticas Comuns de Ataque de Impersonificação

Há várias formas de os atacantes tentarem fazer-se passar por si ou por alguém que conhece. Aqui estão algumas tácticas comuns:

1. Ataque gratuito de conta de e-mail

O atacante utiliza um serviço de correio electrónico gratuito para enviar mensagens a partir de um endereço de correio electrónico semelhante ao utilizado pelo alvo. Esta táctica pode ser utilizada para convencer as pessoas a visitar um website malicioso ou descarregar malware ou fornecer informações tais como palavras-passe ou números de cartão de crédito.

2. Ataque de domínio do primo

No Cousin Domain Attack, o atacante cria um website que parece quase idêntico ao website do seu banco - mas termina com .com em vez de .org ou .net, por exemplo. Em seguida, enviam e-mails a partir deste site falso: quando as pessoas clicam nos links desses e-mails, são levadas para o site falso em vez do site verdadeiro do seu banco.

3. Envelope Forjado Ataque do Remetente

O atacante criará um e-mail com um endereço de remetente que parece vir de uma empresa conhecida, tal como "[email protected]". Como este endereço parece legítimo, ultrapassa a maioria dos filtros dos servidores de correio. O atacante visa então as vítimas com a sua mensagem, atraindo-as a clicar em ligações ou a abrir anexos que permitem que o malware infecte os seus computadores.

4. Ataque de remetente forjado

Um ataque de cabeçalho de remetente é um tipo de falsificação de e-mail que pode ser usado para enganar as pessoas a acreditar que uma mensagem foi enviada por alguém que não a sua verdadeira fonte. Neste tipo de ataque, o campo "remetente" num cabeçalho de correio electrónico é modificado para incluir um endereço diferente do endereço real que enviou a mensagem. Isto pode ser feito através da alteração dos campos "De:" ou "Retornar-Percurso:", ou ambos. O objectivo destes ataques é fazer parecer como se um e-mail tivesse sido enviado por outra pessoa - como um parceiro de negócios ou amigo - para enganar os destinatários a abrir mensagens de alguém que eles conhecem.

5. Ataque de Conta de Email Comprometida

Neste ataque, um atacante ganha acesso a uma conta de e-mail legítima e depois utiliza essa conta para enviar e-mails e mensagens a outras pessoas da organização. O atacante pode afirmar ser um funcionário com conhecimentos ou autoridade especiais, ou pode fazer-se passar por outra pessoa que tenha conhecimentos ou autoridade especiais.

6. Ataque de fraude do CEO

Neste ataque, os atacantes imitam o CEO de uma empresa e tentam convencer os empregados ou clientes de que precisam de acesso a informação sensível. O atacante utilizará frequentemente técnicas de engenharia social como e-mails de phishing ou chamadas telefónicas que fazem parecer que estão a telefonar de dentro do departamento de TI da sua empresa. Utilizará frequentemente linguagem específica da sua indústria ou empresa para parecer mais legítima e fiável, ao mesmo tempo que pede informações sensíveis como palavras-passe ou números de cartão de crédito.

7. Ataque de Man-in-the-Middle (MITM)

Este tipo de ataque implica que o atacante intercepte as suas comunicações com um serviço legítimo e depois as transmita ao serviço legítimo como se fossem de si. Desta forma, o atacante pode escutar a sua comunicação, modificá-la, ou impedi-la de acontecer por completo.

Como Reconhecer um Ataque de Impersonificação?

Um sentido de urgência:O atacante pode instar o receptor a agir imediatamente (tal como iniciar uma transferência bancária imediata, caso contrário, a sua conta será permanentemente bloqueada) utilizando um tom urgente nos seus e-mails. Isto pressuriza as vítimas a agirem sem pensar.

Confidencialidade: O agressor pode indicar que a informação que está a pedir deve ser mantida em privado, implicando que a sua revelação pode levar a consequências graves.

Pedido de partilha de informação sensível: O atacante pode pedir-lhe informações que só o seu banco saberia, tais como o número da sua conta ou palavra-passe. Podem também pedir-lhe que partilhe as suas credenciais empresariais que são informações privadas a que só você tem acesso. Isto, por sua vez, permitir-lhes-ia o acesso às bases de dados da sua empresa e a fuga de informações sensíveis.

Endereços de correio electrónico modificados: Por exemplo, se receber um e-mail de alguém que finge ser da "Amazon" pedindo-lhe para iniciar sessão e actualizar a informação da sua conta, mas o endereço de e-mail é na realidade "[email protected]", então isto pode ser um ataque de imitação.

E-mails mal escritos: As mensagens de phishing são mal escritas, muitas vezes com erros ortográficos e gramaticais, uma vez que são tipicamente gerados em massa.

Presença de ligações ou apegos maliciosos: As ligações e apegos maliciosos são uma forma comum de conduzir um ataque de imitação. Estes tipos de ataques podem ser identificados pela presença de:

  • Ligações que se abrem num novo separador em vez do separador actual.
  • Anexos com títulos estranhos ou extensões de ficheiros (como "anexo" ou ".zip").
  • Anexos que contêm um ficheiro executável (como .exe).

Ficar protegido contra a imitação

1. As empresas precisam de estar conscientes de que a formação em cibersegurança é essencial para se protegerem deste tipo de ataque. A formação deve incluir:

  •  Como os atacantes podem fazer-se passar por utilizadores e obter acesso aos sistemas
  •  Como reconhecer sinais de que alguém está a tentar fazer-se passar por si para que possa tomar medidas antes que qualquer dano seja feito
  •  Como controlos preventivos como a autenticação de dois factores podem ajudar a evitar tentativas de acesso não autorizado por alguém que tenta fazer-se passar por si

2. O domínio do correio electrónico da empresa também deve ser protegido contra ataques de imitação. Isto significa ter políticas rigorosas de registo de novos domínios e contas dentro da sua organização, bem como manter um registo de quem tem acesso a cada um deles para que possam ser removidos se necessário.

3. Quando criar uma conta de e-mail para o seu negócio, certifique-se de que utiliza um domínio específico para o seu negócio. Não utilize "@gmail" ou "@yahoo" porque esses domínios são demasiado genéricos e podem ser utilizados por qualquer pessoa que queira fazer-se passar por si. Em vez disso, use algo como "@yourbusinessnamehere.com" onde o nome da sua empresa está no lugar de "yourbusinessnamehere". Dessa forma, se alguém tentar fazer-se passar por si, enviando um e-mail de outro endereço de e-mail, ninguém acreditará neles, porque sabem o nome de domínio que vai com o seu negócio.

4. As empresas devem considerar a implementação de soluções de segurança de correio electrónico, tais como um Analisador DMARC que bloqueiam a entrega de e-mails com anexos ou links suspeitos (como e-mails de phishing) através de autenticação.

Quer protecção 24/7 contra a imitação? PowerDMARC é um fornecedor de soluções de autenticação de correio electrónico - fornecendo serviços destinados a permitir que as empresas protejam as suas comunicações por correio electrónico. Ajudamo-lo a gerir a reputação do seu domínio, assegurando que apenas e-mails de remetentes autorizados serão entregues através de gateways seguros, ao mesmo tempo que o protegemos de ser falsificado por cibercriminosos e phishers.

Últimos posts de Ahona Rudra (ver todos)