Nos últimos anos, os ataques de comprometimento de e-mails corporativos (BEC, na sigla em inglês) têm se tornado mais frequentes. O objetivo é atacar as correspondências comerciais para que seja possível cometer fraudes financeiras, extrair informações confidenciais ou prejudicar a reputação de uma empresa. Em nosso post anterior sobre os tipos de BEC e como lidar com eles, explicamos como podem acontecer os sequestros de e-mail. Hoje, no entanto, vamos falar sobre o tipo mais perigoso de ataque BEC – o interno. Recentemente, desenvolvemos e implementamos uma nova tecnologia para proteção contra essa ameaça específica.
Entenda os motivos do ataque BEC interno é mais perigoso que o externo
Os ataques BEC internos são diferentes dos outros, pois os e-mails fraudulentos são enviados de endereços legítimos de uma empresa. Em outras palavras, para iniciar um ataque interno, um invasor precisa ter acesso à conta de e-mail de um funcionário. Isso significa que você não pode confiar nos mecanismos de autenticação de e-mail (DKIM, SPF, DMARC) para se prevenir; você também não pode contar com as ferramentas automáticas de antiphishing e antispam padrão, que procuram inconsistências em cabeçalhos técnicos ou em endereços alterados.
Geralmente, a mensagem da caixa de e-mail comprometida contém uma solicitação para transferência de dinheiro (para um fornecedor, empreiteiro, agência fiscal) ou um pedido para envio de informações confidenciais. E tudo é disfarçado com alguns truques bastante comuns de engenharia social. Os cibercriminosos tentam apressar o destinatário (com frases do tipo “se não pagarmos a conta hoje, a empresa será multada!”), fazem ameaças (“pedi para você fazer o pagamento no mês passado, o que diabos você está esperando?!”), adotam um tom autoritário que não admite atrasos ou usam outras manobras do manual de engenharia social. Combinado com um endereço legítimo, essas mensagens podem passar uma impressão muito convincente.
Os ataques BEC internos também podem enviar e-mails com links para sites falsos, com pequenas diferenças nas URLs do endereço da organização (ou de qualquer página confiável), como um “i” maiúsculo em vez de um “L minúsculo”, ou vice-versa, por exemplo. O site fraudulento pode hospedar um formulário de pagamento ou questionário demandando informações confidenciais. Imagine receber um e-mail do seu chefe com a seguinte mensagem: “Decidimos enviar você para a conferência. Reserve o ingresso da nossa conta o mais rápido possível, para que possamos obter o desconto antecipado.” Junto com a mensagem está um link que se parece com o site do evento mais importante do setor em que você trabalha. Tática bastante convincente, não? Quais são as chances de você dedicar tempo para analisar cuidadosamente cada letra no nome da conferência, e se tudo, até a assinatura de e-mail está correta?
Como proteger sua empresa dos ataques BEC internos
Tecnicamente, o e-mail é perfeitamente legítimo; portanto, a única maneira de reconhecer uma falsificação é avaliar o conteúdo. Ao analisar muitas mensagens distorcidas por meio de algoritmos de aprendizado de máquina, é possível identificar características que, somadas, podem ajudar a determinar se uma mensagem é real ou faz parte de um ataque BEC.
Felizmente (ou não), não faltam amostras. Nossas armadilhas de e-mail recebem milhões de mensagens de spam em todo o mundo todos os dias. Incluindo um número considerável de e-mails de phishing – que não são BEC internos, é claro, mas empregam os mesmos truques e têm objetivos semelhantes, e assim as usamos para o aprendizado de máquina. Para começar, treinamos um classificador para este grande volume de amostras com o objetivo de identificar mensagens contendo sinais de fraude. A próxima etapa do processo de aprendizado opera diretamente no texto. Os algoritmos selecionam termos para detectar mensagens suspeitas, com base nas quais desenvolvemos heurísticas (regras) que nossos produtos podem usar para identificar ataques. Todo um conjunto de classificadores de aprendizado de máquina está envolvido no processo.
Mas isso não é motivo para descuido. Nossos produtos podem detectar agora um número muito maior de ataques BEC do que antes. Mas, tendo obtido acesso à conta de e-mail de um funcionário, um invasor pode estudar seu estilo de escrita e tentar imitá-lo na execução de um ataque. A vigilância ainda é necessária.
Recomendamos observar atentamente as mensagens solicitando uma transferência financeira ou a divulgação de dados confidenciais. Adicione uma camada extra de autenticação telefonando ou enviando mensagens (por um serviço confiável) ao colega em questão ou conversando pessoalmente para esclarecer os detalhes.
Usamos a heurística que nossa nova tecnologia anti-BEC gera no Kaspersky Security para Microsoft Office 365e planejamos implementá-la também em outras soluções.