Trace Id is missing

Mudança de táticas alimenta aumento do comprometimento de e-mail empresarial

Transferir
Partilhar

Número 4 do Cyber Signals: O jogo de confiança

A fraude de e-mail empresarial continua a aumentar, com o Federal Bureau of Investigation (FBI) a comunicar mais de 21 000 queixas com prejuízos ajustados de mais de 2,7 mil milhões USD. A Microsoft observou um aumento na sofisticação e nas táticas pelos atores de ameaças que se especializam em comprometimento de e-mail empresarial (BEC), incluindo tirar partido de endereços IP residenciais e fazer com que campanhas de ataques pareçam geradas localmente.

Esta nova tática está a ajudar os criminosos a monetizar ainda mais o Cibercrime como Serviço (CaaS) e chamou a atenção das autoridades federais porque permite aos cibercriminosos evitar alertas de “viagem impossível” utilizados para identificar e bloquear tentativas de início de sessão anómalas e outras atividades de contas suspeitas.

Somos todos defensores de cibersegurança.
A Unidade de Crimes Digitais da Microsoft observou um aumento de 38 por cento no Cibercrime como Serviço a visar e-mail empresarial entre 2019 e 2022.

Dentro da ascensão do serviço de BEC de escala industrial do BulletProftLink

A atividade cibercriminosa em redor do comprometimento de e-mail empresarial está a acelerar. A Microsoft observa uma tendência significativa na utilização por parte de atacantes de plataformas, como o BulletProftLink, uma plataforma popular para criar campanhas de e-mail malicioso de escala industrial. O BulletProftLink vende um serviço ponto a ponto que inclui modelos, alojamento e serviços automatizados para BEC. Os adversários que utilizam este CaaS recebem credenciais e o endereço IP da vítima.

Em seguida, os atores de ameaças de BEC compram endereços IP de serviços de IP residenciais com a mesma localização da vítima, criando proxies de IP residenciais que permitem aos cibercriminosos ocultar a sua origem. Agora, munidos de um espaço de endereços localizado para suportar as suas atividades maliciosas, juntamente com nomes de utilizador e palavras-passe, os atacantes de BEC podem ocultar os movimentos, contornar sinalizadores de “viagem impossível” e abrir um gateway para realizar ataques adicionais. A Microsoft observou atores de ameaças na Ásia e numa nação do Leste da Europa a implementar mais frequentemente esta tática.

A viagem impossível é uma deteção utilizada para indicar que uma conta de utilizador pode ter sido comprometida. Estes alertas sinalizam restrições físicas que indicam que uma tarefa está a ser realizada em duas localizações, sem o tempo necessário para viajar de uma localização para a outra.

A especialização e consolidação deste sector da economia do cibercrime pode escalar a utilização de endereços IP residenciais para evitar a deteção. Endereços IP residenciais mapeados para localizações em fornecem a capacidade e a oportunidade para os cibercriminosos recolherem grandes volumes de credenciais e contas de acesso comprometidas. Os atores de ameaças utilizam serviços de IP/proxy que comerciantes e outros podem utilizar para investigação para dimensionar estes ataques. Um fornecedor de serviços de IP, por exemplo, tem 100 milhões de endereços IP que podem ser rodados ou alterados a cada segundo.

Enquanto os atores de ameaças utilizam phishing como serviço como Evil Proxy, Naked Pages e Caffeine para implementar campanhas de phishing e obter credenciais comprometidas, o BulletProftLink oferece um design de gateway descentralizado, que inclui nós de blockchain públicos de Computadores de Internet para alojar sites de phishing e BEC, criando uma oferta de Web descentralizada ainda mais sofisticada que é muito mais difícil de perturbar. A distribuição da infraestrutura destes sites pela complexidade e o crescimento em evolução de blockchains públicos faz com que identificá-los, e alinhar ações de desmantelamento, seja mais complexo. Embora seja possível remover uma ligação de phishing, o conteúdo permanece online, e os cibercriminosos voltam para criar uma nova ligação para o conteúdo de CaaS existente.

Os ataques de BEC com êxito custam às organizações centenas de milhões de dólares anualmente. Em 2022, a Equipa de Recursos de Recuperação do FBI iniciou a Cadeia de Ataque de Fraude Financeira em 2838 queixas de BEC envolvendo transações domésticas com perdas potencias de mais de 590 milhões USD.

Embora as implicações financeiras sejam significativas, os danos de longo prazo mais amplos podem incluir roubo de identidade se informações pessoais (PII) foram comprometidas, ou perda de dados confidenciais se for exposta correspondência confidencial ou propriedade intelectual em tráfego de e-mail e mensagens maliciosos.

E-mail de phishing por tipo

Gráfico circular a mostrar a discriminação de percentagem de diferentes tipos de e-mails de phishing utilizados em ataques de Comprometimento de E-mail Empresarial. Engodo é o tipo mais comum a 62,35%, seguido de Folha de Pagamentos (14.87%), Fatura (8.29%), Cartão de oferta (4.87%), Informações Empresariais (4.4%) e Outros (5.22%).
Os dados representam um instantâneo de phishing de BEC por tipo de janeiro de 2023 a abril de 2023. Saiba mais sobre esta imagem na página 4 do relatório completo

Os principais alvos para o BEC são executivos e outros líderes superiores, gestores de finanças, pessoal de recursos humanos com acesso a registos de colaboradores como números de Segurança Social, declarações de impostos ou outras informações pessoais. Novos colaboradores, talvez com menor probabilidade de verificar pedidos de e-mail estranhos, também são visados. Quase todas as formas de ataques de BEC estão a aumentar. A principais tendências para BEC visado incluem engodo, folha de pagamentos, fatura, cartão de oferta e informações empresariais.

Os ataques de BEC destacam-se na indústria do cibercrime pelo seu ênfase em engenharia social e na arte do engano. Em vez de explorar vulnerabilidades em dispositivos sem patches aplicados, os operadores de BEC procuram explorar o mar diário de tráfego de e-mail e outras mensagens para atrair vítimas para fornecerem informações financeiras ou realizarem uma ação direta, como enviar sem saber fundos para “contas mula”, que ajudam os criminosos a realizar transferências de dinheiro fraudulentas

Ao contrário de um ataque de ransomware “barulhento” que inclui mensagens de extorsão perturbadoras, os operadores de BEC jogam um jogo de confiança discreto recorrendo a prazos artificiais e urgência para incitar os recipientes, que podem estar distraídos ou habituados a estes tipos de pedidos urgentes. Em vez de malware original, os adversários de BEC alinham as suas táticas para se concentrarem em ferramentas que melhoram a escala, a plausibilidade e a taxa de êxito de caixa de entrada das mensagens maliciosas

Embora tenha havido vários ataques notórios que tiram partido de endereços IP residenciais, a Microsoft partilha da preocupação das autoridades e de outras organizações de que esta tendência pode ser dimensionada rapidamente, tornando difícil em muitos casos detetar atividade com alarmes e notificações tradicionais.

Variâncias em localizações de inícios de sessão não são inerentemente maliciosas. Por exemplo, um utilizador pode aceder a aplicações empresariais com um portátil através de uma rede Wi-Fi local e, simultaneamente, ter sessão iniciada nas mesmas aplicações de trabalho no seu telemóvel através de uma rede celular. Por este motivo, as organizações podem ajustar limiares de sinalizadores de viagem impossível com base na sua tolerância de risco. Contudo, a escala industrial de endereços IP localizados para ataques de BEC cria novos riscos para as empresas, uma vez que o BEC adaptável e outros atacantes cada vez mais optam por encaminhar e-mail malicioso e outra atividade através de um espaço de endereços próximo dos seus alvos.

Recomendações:

  • Maximize as definições de segurança que protegem a sua caixa de entrada: as empresas podem configurar os seus sistemas e e-mail para sinalizar mensagens enviadas de partes externas. Ative notificações para quando os remetentes de e-mails não estão verificados. Bloqueie remetentes com identidades que não consegue confirmar independentemente e denuncie os seus e-mails como phishing ou spam nas aplicações de e-mail.
  • Configure autenticação forte: Torne o e-mail mais difícil de comprometer ao ativar a autenticação multifator, que requer um código, PIN ou impressão digital para iniciar sessão, bem como a sua palavra-passe. Contas com MFA ativada são mais resistentes ao risco de credenciais comprometidas e a tentativas de início de sessão de força bruta, independentemente do espaço de endereços que os atacantes utilizem.
  • Treine os colaboradores para identificar sinais de aviso: eduque os colaboradores para identificar e-mails fraudulentos ou maliciosos, como uma má correspondência entre domínio e endereços de e-mail, e sobre o risco e os custos associados a ataques de BEC com êxito.

A luta contra o comprometimento de e-mail empresarial requer vigilância e conhecimento

Embora os atores de ameaças tenham criado ferramentas especializadas para facilitar o BEC, incluindo kits de phishing e listas de endereços de e-mail verificados a visar líderes em posições de gestão superiores, responsáveis por contas a pagar e outras funções específicas, as empresas podem implementar métodos para prevenir ataques e mitigar risco.

Por exemplo, uma política de domain-based message authentication, reporting, and conformance (DMARC) de “rejeitar” fornece a proteção mais forte contra e-mail falsificado, garantindo que mensagens não autenticadas são rejeitadas no servidor de e-mail, mesmo antes da entrega. Além disso, os relatórios de DMARC fornecem um mecanismo para uma organização saber a origem de uma falsificação aparente, uma informação que normalmente não receberia.

Embora as organizações estejam a gerir há alguns anos equipas de trabalhadores completamente à distância ou híbridas, repensar a consciência de segurança na era do trabalho híbrido continua a ser necessário. Uma vez que os colaboradores trabalham com mais fornecedores, e com isso recebem mais e-mails “vistos pela primeira vez”, é urgente ter consciência do que estas alterações nos ritmos e na correspondência de trabalho significam para a sua superfície de ataque.

As tentativas de BEC dos atores de ameaças podem ter muitas formas, incluindo chamadas de telefone, mensages SMS, e-mails ou mensagens de redes sociais. Falsificar mensagens de pedido de autenticação e fazer-se passar por indivíduos e empresas também são táticas comuns.

Um bom primeiro passo defensivo é fortalecer as políticas para os departamentos de contabilidade, controlos internos, folha de pagamentos ou recursos humanos sobre como responder quando são recebidos pedidos ou notificações de alterações sobre instrumentos de pagamento, atividade bancária ou transferências bancárias. Dar um passo atrás para pôr de lado pedidos que suspeitosamente não seguem as políticas, ou contactar uma entidade requerente através do seu site e dos seus representantes legítimos, pode salvar as organizações de perdas assombrosas.

Os ataques de BEC são um excelente exemplo do motivo pelo qual o risco cibernético tem de ser abordado de uma forma multifuncional, com executivos e líderes, colaboradores de finanças, gestores de recursos humanos e outros com acesso a registos de colaboradores como números de Segurança Social, declarações de impostos, informações de contacto e horários, na mesa juntamente com funcionários de TI, conformidade e risco cibernético.

Recomendações:

  • Utilize uma solução de e-mail segura: as plataformas de cloud de e-mail de hoje em dia utilizam capacidades de IA como aprendizagem automática para melhorar as defesas, adicionando proteção de phishing avançada e deteção de reencaminhamento suspeito. As aplicações de cloud para e-mail e produtividade também oferecem as vantagens de atualizações de software automáticas contínuas e gestão centralizada de políticas de segurança.
  • Proteja identidades para impedir o movimento lateral: proteger identidades é um pilar chave para combater o BEC. Controle o acesso a aplicações e dados com Confiança Zero e governação de identidades automatizada.
  • Adote uma plataforma de pagamento segura: considere mudar de faturas enviadas por e-mail para um sistema concebido especificamente para autenticar pagamentos.
  • Pare e faça uma chamada telefónica para verificar transações financeiras: uma breve conversa telefónica para confirmar que algo é legítimo vale bem a pena, em vez de presumir com uma resposta ou um clique rápido que pode levar a roubo. Estabeleça políticas e expetativas a lembrar aos colaboradores que é importante contactar organizações ou indivíduos diretamente, e não utilizar informações fornecidas em mensagens suspeitas, para tornar a verificar pedidos financeiros e outros pedidos.

Saiba mais sobre o BEC e atores de ameaças iranianos com informações de Simeon Kakpovi, Analista de Informações sobre Ameaças Superior.

Os dados do instantâneo representam as tentativas de BEC anuais e diárias médias detetadas e investigadas pelas Informações sobre Ameaças da Microsoft entre abril de 2022 e abril de 2023. Os desmantelamentos de URL de phishing únicos ordenados pela Unidade de Crimes Digitais da Microsoft são entre maio de 2022 e abril de 20231.

  • 35 milhões anuais
  • 156 000 diários
  • 417 678 desmantelamentos de URL de phishing
  1. [1]

    Metodologia: Para os dados de instantâneo, as plataformas da Microsoft, incluindo o Microsoft Defender para Office, as Informações sobre Ameaças da Microsoft e a Unidade de Crimes Digitais (DCU) da Microsoft, forneceram dados anonimizados sobre vulnerabilidades de dispositivos e dados sobre atividades e tendências de atores de ameaças. Além disso, os investigadores utilizaram dados de fontes públicas, como o Relatório de Crimes de Internet de 2022 do Federal Bureau of Investigation (FBI) e a Cybersecurity & Infrastructure Security Agency (CISA). A estatística da capa baseia-se nos compromissos de Cibercrime como serviço de e-mail empresarial da DCU da Microsoft de 2019 a 2022. Os dados de instantâneo representam tentativas de BEC detetadas e investigadas diárias médias e anuais ajustadas.

Comprometimento de e-mail empresarial Cyber signals Segurança de identidade Phishing

Artigos relacionados

Informações do especialista em atores de ameaças iranianos Simeon Kakpovi

O analista de informações sobre ameaças superior Simeon Kakpovi fala sobre a formação da próxima geração de ciberdefensores e sobre derrotar a tenacidade total dos atores de ameaças iranianos.
Saber mais

O risco de segurança único dos dispositivos de IoT/OT

No nosso último relatório, explorámos como a conectividade de IoT/OT crescente está a levar a maiores e mais severas vulnerabilidades para os atores de ciberameaças explorarem.
Saber mais

Anatomia de uma superfície de ataque moderna

Para gerir uma superfície de ataque cada vez mais complexa, as organizações têm de desenvolver uma postura de segurança abrangente. Com seis áreas de superfície de ataque chave, este relatório mostra como as informações sobre ameaças certas podem ajudar a inclinar o campo a favor dos defensores.
Saber mais

Siga o Microsoft Security