Uma crescente preocupação dos profissionais de segurança são os ataques de phishing internos – e-mails de phishing enviados de um usuário confiável para outro da mesma organização.

 

Os e-mails de phishing internos são usados ​​em ataques de múltiplas etapas em que uma conta de e-mail é dominada, seja pelo controle do dispositivo de usuários com malware instalado anteriormente ou pelo comprometimento das credenciais da conta do usuário. Os e-mails de phishing internos são usados ​​tanto em ataques direcionados, no qual o objetivo é roubar informações ou extorquir o usuário, quanto em ataques comuns como Business Email Compromise (BEC), formulados para roubar dinheiro. Como o remetente é um usuário interno e confiável, é mais provável que o destinatário execute as ações solicitadas no e-mail.

Exemplo: campanha de ataque direcionado da Eye Pyramid

Os atacantes da Eye Pyramid realizaram uma campanha bem-sucedida de roubo de informações por anos antes de serem julgados no começo desse ano. Sua técnica favorita era saltar de um usuário para o próximo usuário usando e-mails de phishing com um anexo malicioso. O anexo continha um malware que colhia e exfiltrava informações, incluindo os endereços de e-mail que seriam usados ​​nos próximos alvos. Seus métodos, que comprometeram mais de 100 domínios de e-mail e 18.000 contas de e-mail, pareciam com os métodos usados em um ataque patrocinado pelo estado, mas surpreendentemente os responsáveis eram um engenheiro nuclear italiano e sua irmã que queriam lucrar com as informações.

Exemplo: phishing de credencial interno do Office 365

A popularidade do Microsoft Office 365 fez com que se tornasse um alvo atraente para as campanhas de ataque. Vimos muitos exemplos de invasores tentando usar métodos de phising em credenciais dos usuários do Office 365. Após comprometer a conta do usuário, os atacantes podem então iniciar um ataque de Business Compromise Email, como nos exemplos de e-mails abaixo de um esquema de transferência bancária.

Exemplo: ataque destrutivo ao Financial Times

Um exemplo de um ataque potencialmente destrutivo ocorreu no Financial Times alguns anos atrás. O atacante (mais tarde identificado como o Syrian Electronic Army) usou uma conta de e-mail comprometida para enviar e-mails de phishing internos e roubar credenciais de outras contas. Quando o setor de TI descobriu os ataques internos de phishing, enviaram um e-mail de alerta para todos os usuários com um link para mudar suas senhas. O problema é que o atacante viu o e-mail do setor de TI e o reenviou, mas mudou o link para seu próprio site de phishing. Por fim, os atacantes conseguiram acesso a todos os sistemas que precisavam, mas decidiram que o Financial Times era o “menor dos males” e continuou a atacar outras empresas de mídia.

Métodos para parar ataques de phishing internos:

O primeiro passo para reduzir os ataques internos de phishing é implementar autenticação multifatorial (MFA) para reduzir o risco de um invasor obter controle de credenciais de contas roubadas. Mesmo com a implantação de MFA, ataques internos de phishing podem ocorrer se o dispositivo do usuário estiver comprometido com um malware. O que muitas pessoas não sabem é que as soluções de segurança do gateway de e-mail, que analisam o tráfego de e-mail SMTP de entrada e saída, não analisam e-mails internos. Para analisar e-mail internos, você pode usar uma solução com base em journaling, que se integra com seu serviço de correio ou servidor de email. As melhores soluções podem encontrar todos os tipos de ameaças de e-mail, analisando o conteúdo do e-mail, os anexos e as URLs.

Soluções com Base em Journaling

O primeiro método é usar a função de journaling dos seus sistemas de e-mail para enviar uma cópia de cada e-mail interno enviado para um serviço de segurança que fará uma análise off-line. Este método serve para detectar ataques, mas não bloqueia ataques. Alguns serviços de segurança com base em journaling podem usar as ferramentas do Exchange para excluir um e-mail após a análise. No entanto, durante a análise, que pode ser de 5 minutos caso um sandboxing seja necessário, o usuário ainda tem acesso ao e-mail e aos anexos. E se o anexo for um ransomware como o Teslacript, que criptografa 10 mil arquivos em 40 segundos, a análise pode não servir.

Soluções Integradas de Serviço

As Soluções Integradas de Serviço resolvem o problema do acesso do usuário durante a análise, integrando-se diretamente ao sistema de e-mail usando uma API. A API alerta a solução de segurança que um e-mail chegou e pode esconder o e-mail dos usuários até que a análise seja concluída. As integrações de serviços no local estão disponíveis em formato de software para servidores Microsoft Exchange e IBM Domino. As soluções baseadas em API também estão disponíveis nos sistemas de e-mail em nuvem, como o Microsoft Office 365, se o provedor disponibilizar as APIs para soluções de segurança. 

Soluções da Trend Micro

A Trend Micro protege empresas e pessoas contra ameaças internas de e-mail desde 1997 e continuamos a oferecer novos aprimoramentos na tecnologia. Realizamos uma análise de malwares, URLs mal-intencionados e a nossa mais recente Tecnologia XGen® anti-BEC também pode analisar e-mails fraudulentos internos. O ScanMail está disponível para proteger locais físicos com servidores de e-mail Microsoft Exchange e IBM Domino. O Office 365 é protegido por nossa solução baseada em API, Cloud App Security, que detectou 6 milhões de ameaças de alto risco nos últimos 2 anos que passaram desapercebidas pela segurança nativa do Office 365. O Cloud App Security pode ser comprado separado ou junto com a proteção pré-entrega para o gateway do Smart Protection para Office 365.

Fonte: Trend Micro