Trace Id is missing

A mudança de táticas impulsiona o aumento do comprometimento de emails empresariais

Baixar
Compartilhar

Cyber Signals Edição 4: O jogo da confiança

As fraudes por email empresarial continuam a aumentar, com o Federal Bureau of Investigation (FBI) informando que houve mais de 21.000 reclamações com perdas ajustadas de mais de USD$ 2,7 bilhões. A Microsoft observou um aumento na sofisticação e nas táticas de agentes de ameaças que se especializaram no comprometimento de email empresarial (BEC), incluindo o aproveitamento de endereços de protocolo IP para parecer que as campanhas de ataque foram geradas no local.

Essa nova tática está ajudando os criminosos a monetizar ainda mais o Crime cibernético como serviço (CaaS) e chamou a atenção das autoridades federais porque permite que os criminosos cibernéticos escapem dos alertas de "viagem impossível" usados para identificar e bloquear tentativas anômalas de login e outras atividades suspeitas na conta.

Todos somos defensores da segurança cibernética.
A Unidade de Crimes Digitais da Microsoft observou um aumento de 38% no crime cibernético como serviço que visa emails empresariais entre 2019 e 2022.

Por dentro da ascensão do serviço de BEC em escala industrial do BulletProftLink

A atividade de criminosos cibernéticos em torno do comprometimento de email empresarial está se acelerando. A Microsoft observou uma tendência significativa entre os invasores no uso de plataformas, como a BulletProftLink, uma plataforma popular para criar campanhas de emails maliciosos em escala industrial. A BulletProftLink vende um serviço de ponta a ponta, incluindo modelos, hospedagem e serviços automatizados para BEC. Adversários usando esse CaaS recebem credenciais e o endereço IP da vítima.

Os agentes de ameaças de BEC então compram endereços IP de serviços de IP residencial que correspondem ao local da vítima, criando proxies de IP residencial que possibilitam que os criminosos cibernéticos mascarem sua origem. Agora, armados com um espaço de endereço localizado para dar suporte às suas atividades maliciosas e com nomes de usuário e senhas, os invasores de BEC podem ocultar sua movimentação, contornando sinalizadores de "viagem impossível" e abrindo um gateway para realizar outros ataques. A Microsoft observou que os agentes de ameaças de nações na Ásia e no Leste Europeu que costumam implementar com mais frequência essa tática.

A viagem impossível é uma detecção usada para indicar que uma conta de usuário pode estar comprometida. Esses alertas sinalizam restrições físicas que indicam que uma tarefa está sendo executada em dois locais sem a quantidade de tempo apropriada para viajar de um local para o outro.

A especialização e a consolidação desse setor da economia do crime cibernético podem aumentar o uso de endereços IP residenciais para evitar a detecção. Os endereços IP residenciais mapeados como locais em escala proporcionam a capacidade e a oportunidade para os criminosos cibernéticos reunirem grandes volumes de credenciais e contas de acesso comprometidas. Os agentes de ameaças estão usando serviços IP/proxy que comerciantes e outros podem usar para pesquisar para ampliar esses ataques. Um provedor de serviço IP, por exemplo, tem 100 milhões de endereços IP que podem ser alternados ou mudados a cada segundo.

Embora os agentes de ameaças usem o phishing como serviço, como Evil Proxy, Naked Pages e Caffeine, a fim de implementar campanhas de phishing e obter credenciais comprometidas, oBulletProftLink oferece um design gateway descentralizado que inclui nós de blockchain público de computadores da Internet para hospedar sites dephishing e BEC, criando uma oferta de Web descentralizada ainda mais sofisticada que é muito mais difícil de interromper. A distribuição da infraestrutura desses sites por blockchains públicos com crescente complexidade e evolução torna ainda mais complexa a sua identificação e o alinhamento das ações necessárias para derrubá-los. Embora seja possível remover um link de phishing, o conteúdo permanece online, e os criminosos cibernéticos voltam a criar novos links para o conteúdo existente do CaaS.

Os ataques de BEC de sucesso custam anualmente centenas de milhões de dólares às organizações. Em 2022, a Equipe de Recuperação de Ativos do FBI iniciou a Cadeia de ataque contra fraudes financeiras com 2.838 reclamações sobre BEC envolvendo transações domésticas com o potencial de mais de USD$ 590 milhões em perdas.

Embora as implicações financeiras sejam significativas, os danos de longo prazo mais amplos podem incluir o roubo de identidade caso as informações de identificação pessoal (PII) sejam comprometidas, ou a perda de dados confidenciais, se a correspondência confidencial ou a propriedade intelectual forem expostas no tráfego de emails e mensagens maliciosos.

Email de phishing por tipo

O gráfico de pizza mostra o detalhamento em porcentagem dos diferentes tipos de emails de phishing usados em ataques de comprometimento de email empresarial (BEC). A isca é o tipo mais comum, com 62,35%, seguido pela Folha de pagamento (14,87%), Fatura (8,29%), Cartão-presente (4,87%), Informações Comerciais (4,4%) e Outros (5,22%).
Os dados representam um instantâneo de phishing de BEC por tipo de janeiro a abril de 2023. Saiba mais sobre esta imagem na página 4 do relatório completo

Os principais alvos de BEC são executivos e outros líderes sêniores, gerentes financeiros, pessoal de recursos humanos com acesso a registros de funcionários, como números do seguro social, declarações de impostos ou outras PII. Também são alvo os novos funcionários que talvez tenham menor probabilidade de verificar solicitações de emails desconhecidos. Praticamente todas as formas de ataques de BEC estão aumentando. As principais tendências de alvos de BEC incluem iscas, folhas de pagamento, faturas, cartão-presente e informações comerciais.

Os ataques de BEC se destacam no setor de crimes cibernéticos por sua ênfase na engenharia social e em atividades enganosas. Em vez de explorar vulnerabilidades em dispositivos sem patches, os operadores de BEC procuram explorar a enorme quantidade diária de tráfego de email e outras mensagens para atrair as vítimas para que forneçam informações financeiras ou a tomarem uma ação direta, como o envio inadvertido de fundos para contas de "money mule" que ajudam os criminosos a realizar transferências fraudulentas de dinheiro

Ao contrário de um ataque de ransomware "barulhento" que apresenta perturbadoras mensagens de extorsão, os operadores de BEC apresentam um jogo de confiança silencioso usando prazos e urgências forjados para estimular os destinatários, que podem estar distraídos ou acostumados a esses tipos de solicitações urgentes. Em vez de usar malwares novos, os adversários de BEC alinham suas táticas para se concentrar em ferramentas que melhoram a escala, a plausibilidade e a taxa de sucesso das mensagens maliciosas na caixa de entrada

Embora tenham ocorrido vários ataques de alto perfil que utilizam endereços IP residenciais, a Microsoft compartilha as preocupações da polícia e outras organizações de que esta tendência possa aumentar rapidamente, na maioria dos casos dificultando a detecção das atividades com alarmes ou notificações tradicionais.

As variações nos locais de login não são inerentemente maliciosas. Por exemplo, um usuário pode acessar aplicativos de negócios em um laptop via Wi-Fi local e, ao mesmo tempo, fazer login nos mesmos aplicativos de trabalho em seu smartphone por meio de uma rede celular. Por essa razão, as organizações podem personalizar os limites do sinalizador de viagem impossível com base em sua tolerância de riscos. Mas a escala industrial do endereço IP localizado para ataques de BEC apresenta novos riscos para as empresas, já que o BEC adaptável e outros invasores adotam cada vez mais a opção de rotear emails e outras atividades maliciosas por meio de espaços de endereços próximos aos seus alvos.

Recomendações:

  • Maximize as configurações de segurança para proteger sua caixa de entrada: as empresas podem configurar os sistemas de email para sinalizar mensagens enviadas por terceiros. Ative as notificações para quando os remetentes de email não forem verificados. Bloqueie remetentes com identidades que você não consegue confirmar de forma independente e informe os emails como phishing ou spam nos aplicativos de email.
  • Configure uma autenticação fortalecida: dificulte o comprometimento do seu email ativando a autenticação multifator, que requer um código, PIN ou impressão digital para fazer login, bem como a sua senha. As contas com MFA ativada são mais resistentes aos riscos de comprometimento de credenciais e tentativas de login por força bruta, independentemente do espaço de endereço usado pelos invasores.
  • Treine os funcionários para identificar sinais de alerta: ensine aos funcionários como identificar emails fraudulentos e maliciosos, como uma incompatibilidade entre o domínio e os endereços de email, e os riscos e custos associados a ataques bem-sucedidos de BEC.

Combater o comprometimento de emails empresariais exige vigilância e conscientização

Embora os agentes de ameaças tenham criado ferramentas especializadas para facilitar o BEC, como kits de phishing e listas de endereços de email verificados direcionados aos executivos de nível superior, de contas a pagar e outras funções específicas, as empresas podem empregar métodos para evitar ataques e reduzir os riscos.

Por exemplo, uma política de "rejeição" de autenticação, relatório e conformidade de mensagens baseados em domínio (DMARC) proporciona a proteção mais forte contra emails falsificados, garantindo que as mensagens não autenticadas sejam rejeitadas no servidor de email mesmo antes da entrega. Além disso, relatórios de DMARC fornecem um mecanismo para a organização estar ciente das fontes de aparentes falsificações, informações que eles normalmente não receberiam.

Ainda que as organizações estejam há alguns anos gerenciando forças de trabalho totalmente remotas ou híbridas, ainda é necessário repensar a conscientização sobre a segurança na era do trabalho híbrido. Como os funcionários estão trabalhando com mais fornecedores e prestadores de serviços e, portanto, recebendo mais emails "vistos pela primeira vez", é essencial estar ciente do que essas mudanças nos ritmos de trabalho e na correspondência significam para a sua superfície de ataque.

As tentativas de BEC dos agentes de ameaças podem ter vários formatos, incluindo chamadas telefônicas, mensagens de texto, emails ou mensagens em mídia social. A falsificação de mensagens de solicitação de autenticação e passar-se por indivíduos e empresas também são táticas comuns.

Uma boa primeira etapa defensiva é fortalecer as políticas dos departamentos de contabilidade, controles internos, folha de pagamento ou recursos humanos sobre como responder quando forem recebidas solicitações ou notificações de alterações relativas a pagamentos, transferências bancárias ou eletrônicas. Dar um passo atrás para deixar de lado as solicitações suspeitas que não seguem as políticas ou entrar em contato com uma entidade solicitante por meio de seu site e representantes legítimos pode salvar as organizações de perdas surpreendentes.

Os ataques de BEC são um ótimo exemplo para mostrar porque é necessário abordar o risco cibernético de forma multifuncional, com executivos e líderes, funcionários do setor financeiro, gerentes de recursos humanos e outras pessoas com acesso a registros de funcionários, como números de seguro social, declarações de impostos, informações de contato e programações, além de diretores de TI, conformidade e risco cibernético.

Recomendações:

  • Use uma solução segura de emails: as atuais plataformas de e-mail em nuvem usam recursos de IA, como o aprendizado de máquina, para aprimorar as defesas, adicionando proteção avançada contra phishing e detecção de encaminhamento suspeito. Aplicativos em nuvem para email e produtividade também oferecem as vantagens de atualizações contínuas e automáticas de softwares e gerenciamento centralizado de políticas de segurança.
  • Identidades seguras para coibir a movimentação lateral: a proteção das identidades é um pilar chave para combater o BEC. Controle do acesso a aplicativos e dados com o Zero Trust e a governança automatizada de identidades.
  • Adoção de uma plataforma de pagamentos seguros: considere mudar de faturas enviadas por email para um sistema projetado especificamente para autenticar pagamentos.
  • Pare e faça uma chamada telefônica para verificar as transações financeiras: vale a pena perder um momento com uma rápida conversa telefônica para confirmar se algo é legítimo, em vez de se decidir por uma resposta rápida ou um clique que pode levar a um roubo. Estabeleça políticas e expectativas, lembrando aos funcionários que é importante entrar em contato direto com as organizações ou indivíduos, em vez de usar informações fornecidas em mensagens suspeitas, para confirmar solicitações financeiras e outras.

Saiba mais sobre BEC e os agentes de ameaças iranianos com insights de Simeon Kakpovi, analista sênior de inteligência contra ameaças.

Os dados do instantâneo representam as tentativas de BEC com as médias diárias e anuais que foram detectadas e investigadas pela Informações sobre ameaças da Microsoft entre abril de 2022 e abril de 2023. Derrubadas de URLs exclusivos de phishing direcionadas pela Unidade de Crimes Digitais da Microsoft ocorridas entre maio de 2022 e abril de 20231.

  • 35 milhões por ano
  • 156.000 por dia
  • Derrubada de 417.678 URLs de phishing
  1. [1]

    Metodologia: Nos dados do instantâneo, as plataformas da Microsoft, incluindo o Microsoft Defender para Office, as Informações sobre ameaças da Microsoft e a Unidade de Crimes Digitais da Microsoft (DCU), forneceram dados anonimizados sobre vulnerabilidades de dispositivos e dados em atividades e tendências de agentes de ameaças. Além disso, os pesquisadores usaram dados de origens públicas, como Relatório de crimes da Internet de 2022 do Federal Bureau of Investigation (FBI) e da Cybersecurity & Infrastructure Security Agency (CISA). As estatísticas da cobertura são baseadas nos relatórios da Microsoft DCU sobre envolvimentos de email empresarial de crime cibernético como serviço de 2019 a 2022. Os dados do instantâneo representam as tentativas de BEC com ajuste anual e médias diárias que foram detectadas e investigadas.

Comprometimento de email empresarial Cyber Signals Segurança de identidade Phishing

Artigos relacionados

Insights de Simeon Kakpovi, especialista iraniano em agentes de ameaças

Simeon Kakpovi, analista sênior de inteligência contra ameaças, comentou sobre o treinamento da próxima geração de defensores cibernéticos e sobre como superar a tenacidade dos agentes de ameaças iranianos.
Saiba mais

Um risco de segurança exclusivo de dispositivos IoT/OT

Em nosso último relatório, exploramos como o aumento da conectividade IoT/OT está levando a vulnerabilidades maiores e mais graves para que os agentes de ameaças cibernéticas organizadas explorem.
Saiba mais

Anatomia de uma superfície de ataque moderna

Para gerenciar uma superfície de ataque cada vez mais complexa, as organizações devem desenvolver uma postura de segurança abrangente. Com seis áreas principais de superfície de ataque, este relatório mostrará como a inteligência contra ameaças certa pode ajudar a criar uma vantagem para quem está defendendo seus ambientes.
Saiba mais

Siga a Segurança da Microsoft