Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, analisaram novas tendências em ondas de ataques globais do tipo BEC (Business Email Compromise), baseadas no uso de serviços legítimos para realizar ciberataques de roubo de identidade.
Especificamente, os pesquisadores observaram uma mudança na tendência: os atacantes têm aplicado golpes de phishing utilizando cada vez mais contas de e-mail de estudantes para as suas campanhas. Esse tipo de ataque cibernético, o BEC, se popularizou porque é de difícil identificação, pois utiliza portais legítimos que incluem links e instruções maliciosas.
“O BEC 2.0 é uma manobra pela qual o e-mail de uma pessoa é ‘sequestrado’ e seu endereço de e-mail é usado. Essa aquisição pode acontecer de diversas maneiras, desde ataques de força bruta padrão até métodos mais complexos. Independentemente do método de acesso, uma vez que os atacantes tenham as credenciais de uma conta de e-mail, eles a utilizam em suas campanhas de phishing”, explica Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.
Exemplo de e-mail de ataque BEC
Neste ataque, os cibercriminosos assumem o controle das contas de e-mail de estudantes e as utilizam para enviar e-mails de phishing.
Em um exemplo de e-mail analisado pelos pesquisadores, o cibercriminoso assumiu o controle da conta de um estudante de uma grande universidade no Oriente Médio.
No exemplo, o cibercriminoso já assumiu o controle da conta de um aluno e enviou um e-mail para uma grande lista de seus contatos. Enviar mensagens para uma grande lista de e-mails pode ser uma forma de evitar a detecção pelos serviços e soluções de segurança.
O conteúdo é bastante típico de e-mails de phishing. Há uma linguagem informal e amigável e a indicação de uma urgência na frase “esta é a terceira vez que tentamos contatá-lo”, bem como uma grande recompensa prometida no final da mensagem (“uma quantia considerável foi aprovada para você”). Esses são dois sinais claros de alerta para qualquer usuário de que se trata de ataque de phishing.
Ainda referente o e-mail analisado pelos pesquisadores da Check Point Software, outra dica que serve de alerta aos usuários é o fato de que há um e-mail de contato indicado e separado na parte inferior, o qual leva para um domínio chamado fiancier[.]com . Na verdade, esse é um serviço de e-mail legítimo associado a campanhas de phishing anteriores.
Técnicas
Alguns e-mails de phishing são realmente ruins; outros são realmente convincentes e eficazes. No e-mail analisado trata-se de um exemplo de um ataque de phishing ruim. Existem várias coisas que alertarão o usuário final de que algo está errado.
Os pesquisadores detalham sobre uma técnica que representa uma tática de phishing popular e eficaz. “Assumir o controle de contas de qualquer pessoa, seja um funcionário corporativo ou um estudante, é uma maneira fácil e eficaz de começar a enviar e-mails de phishing. Isso porque o remetente sempre será legítimo. É ainda mais eficaz quando o e-mail vem como resposta a um tópico existente”, informa Fuchs.
Quando alguém assume o controle de uma conta por e-mail, geralmente realiza uma das seguintes ações: Atualizar e-mail com informações da conta bancária para folha de pagamento; sequestra conversas legítimas existentes relacionadas a uma fatura e envia as informações bancárias do atacante; cria uma regra de caixa de entrada para ocultar e-mails futuros em uma conversa para que o usuário real não saiba que algo aconteceu; ou cria uma nova solicitação de pagamento de uma conta confiável para um serviço de terceiros falso.
Como evitar ser vítima de phishing BEC
Para evitar esses ataques, a conscientização do usuário final é fundamental. Mas, também é necessário adotar uma abordagem de cibersegurança mais proativa e preventiva. Os danos causados por um roubo de conta são enormes e os pesquisadores da Check Point Software destacam os principais pontos para evitá-los.
Implementar uma solução de segurança de e-mail para monitorar comportamentos incomuns, como configurações inseguras, e ajudar a identificar acessos ilegítimos.
Implementar segurança e ferramentas autônomas que possam bloquear automaticamente ataques de controle de conta permitem aumentar a eficiência das defesas.
Implementar segurança que use IA, ML e PNL para entender a intenção de uma mensagem e quando a linguagem de phishing pode ser usada. O aprendizado de máquina permite que soluções inteligentes processem a linguagem das mensagens para analisar e “entender” o que é uma mensagem de phishing.
