Para fugir das tecnologias anti phishing, os cibercriminosos podem usar provedores de serviço de e-mail (ESPs) legítimos
Os golpistas têm usado estratégias diferentes nos últimos anos para contornar as tecnologias antiphishing, e uma, com alta taxa de sucesso, é entregar os links de phishing a alvos por meio do uso de serviços de e-mail marketing, também chamados de serviços de provedores de e-mail (ESPs), para o disparo de mensagens em massa como newsletter.
Com base nas estatísticas obtidas por meio de nossas soluções, esse método está ganhando relevância.
As empresas que levam as ameaças de e-mail a sério examinam todos os e-mails, usando mecanismos antivírus, antiphishing e antispam, antes que as mensagens cheguem às caixas de entrada dos usuários.
Esses mecanismos não só analisam o conteúdo da mensagem, o assunto e os links, mas também verificam a reputação do destinatário e dos sites vinculados. Para chegar a um veredicto, uma combinação desses fatores é analisada. Por exemplo, se um e-mail em massa vier de um remetente desconhecido, um sinal de alerta será enviado aos algoritmos de segurança.
Por que os ataques de phishing são bem-sucedidos com o uso de ESPs
As empresas que levam as ameaças de e-mail a sério fazem uma verificação em todos, usando mecanismos antivírus, antiphishing e antispam, antes que as mensagens cheguem às caixas de entrada dos usuários.
Esses mecanismos não só analisam o conteúdo da mensagem, o assunto e os links, mas também verificam a reputação do destinatário e dos sites vinculados. Para chegar a um veredicto, uma combinação desses fatores é analisada. Por exemplo, se um e-mail em massa vier de um remetente desconhecido, um sinal de alerta será enviado aos algoritmos de segurança.
Mas os invasores encontraram um método alternativo: o envio de e-mails em nome de empresas confiáveis. Os provedores de serviços de e-mail marketing, que oferecem gerenciamento de boletim informativo de ponta a ponta, cumprem perfeitamente essa função, pois tem boa reputação.
As soluções de segurança permitem seus endereços IP por padrão e algumas até mesmo ignoram a verificação dos e-mails que recebem dessas plataformas.
Como os ESPs são explorados
O principal vetor de ataque é óbvio: é o phishing disfarçado de e-mail legítimo. Em suma, os cibercriminosos se tornam clientes do serviço, geralmente pagando pela assinatura mais básica (caso contrário, não faria sentido, pois eles sabem que logo poderão ser detectados e bloqueados).
Mas há uma opção ainda mais perigosa: usar ESP como host de URL. Desta forma, a newsletter é enviada pela infraestrutura própria do atacante. Por exemplo, os cibercriminosos podem criar uma campanha de teste que contenha a URL de phishing e redirecioná-la para visualização.
O ESP gera um proxy para o referido URL e, em seguida, os cibercriminosos só precisam obter o URL do proxy para seu boletim informativo de phishing. Outra opção explorada pelos golpistas é criar um site de phishing que se pareça com um template de newsletter e oferecer um link direto para ele, mas isso acontece com menos frequência.
De qualquer forma, a nova URL de proxy agora tem uma boa reputação, então não será bloqueada e a ESP, que não gerencia o mailing, não verá nada de ruim ou bloqueará seu “cliente”, pelo menos não até que comece a receber reclamações. Às vezes, esses tipos de estratégias também fazem parte do spear-phishing.
O que os EPS acham?
Sem surpresa, os ESPs não estão pulando de alegria por serem ferramentas para cibercriminosos. A maioria tem suas próprias tecnologias de segurança que examinam o conteúdo da mensagem e os links que passam por seus servidores, e quase todos fornecem orientação para qualquer pessoa que se depare com phishing em seu site.
Portanto, os atacantes também tentam manter os ESPs calmos. Por exemplo, usar um provedor de proxy, que tende a “atrasar” os links de phishing, de modo que, no momento de sua criação, os links nas mensagens de teste pareçam legítimos e, posteriormente, se tornem maliciosos.
O que pode ser feito?
Em muitos casos, e-mails em massa são enviados para funcionários da empresa cujos endereços são públicos, e mesmo os mais cuidadosos podem baixar a guarda e clicar onde não deveriam. Para proteger suas equips contra possíveis ataques de phishing de um serviço de marketing por e-mail, recomendamos o seguinte:
- Instrua a equipe a nunca abrir e-mails categorizados como “mala direta”, a menos que estejam inscritos na lista de newsletter específica em questão. É improvável que essas mensagens sejam urgentes; normalmente, na melhor das hipóteses, será uma publicidade intrusiva.
- Use soluções de segurança robustassoluções de segurança robustas que analisam completamente todos os e-mails recebidos por meio de algoritmos heurísticos.
Fonte: Kaspersky Daily
Como evitar ataques de hackers e Phishing. Por Roberto Gallo. Ouça
Cibercriminosos aproveitam a corrida à vacina COVID-19 para lançar campanhas phishing