Phishing disfarçado: desconfie de e-mails marcados como seguros

E-mails de trabalho marcados como “verificados” devem fazer soar os alarmes.

Ao enviar e-mails de phishing ou anexos maliciosos, os golpistas implantam uma série de truques para persuadi-lo a clicar em um link ou abrir um arquivo. Um desses truques é adicionar todos os tipos de carimbos possíveis, indicando que o link ou arquivo anexado é confiável.

Por mais bobo que possa parecer, essa abordagem funciona. Alguém bem versado em segurança da informação pode não cair nessa, mas muitos funcionários menos experientes em TI podem acabar sendo vítimas deste tipo de artimanha. Portanto, recomendamos que os gerentes de segurança da informação forneçam a seus colegas um resumo ocasional, até mesmo das manobras cibercriminosas mais básicas.

Como são os selos “verificados”?

É claro que não existe um tipo único de selo – cada invasor tem o seu próprio. Vimos muitos exemplos diferentes, mas eles tendem a ser variações dos seguintes temas:

  • O arquivo anexado foi verificado por um antivírus (às vezes, um logotipo vem junto).
  • O remetente está na lista confiável.
  • Todos os links foram verificados por um mecanismo antiphishing.
  • Nenhuma ameaça foi encontrada.

Aqui está um exemplo de um e-mail de phishing de invasores se passando por equipe de suporte para induzir o destinatário a clicar no link e inserir suas credenciais do Office 365. Para maior plausibilidade, afirma que o remetente da mensagem foi verificado.

Mensagem com um aviso “Este remetente foi verificado na lista de remetentes seguros”.

Mas, neste caso, o aviso “Este remetente foi verificado na lista de remetentes seguros da [nome da empresa]” deve servir como um alerta.

Como reagir a um e-mail marcado como seguro

Embora os e-mails de phishing ou mal-intencionados geralmente pressionem o usuário por uma resposta rápida (no exemplo acima, sob a ameaça de perder o acesso ao seu e-mail de trabalho), uma ação impulsiva é exatamente o que você nunca fazer. Primeiro, faça a si mesmo as seguintes perguntas:

  • Você já viu este selo antes? Se você está na empresa há pelo menos uma semana, esse provavelmente não é o primeiro e-mail que você recebe.
  • Algum de seus colegas de trabalho já viu esse carimbo em seus e-mails de trabalho? Em caso de dúvida, é melhor verificar com um colega mais experiente ou funcionário de TI.
  • O selo é adequado ao contexto? Claro, às vezes um carimbo de “Arquivo digitalizado” ou “Link digitalizado” pode fazer sentido. Mas se o remetente supostamente trabalha na mesma empresa que você, como o endereço de e-mail corporativo dele pode não estar na lista confiável?

Na verdade, os filtros de e-mail atuais funcionam de maneira oposta: eles marcam e-mails potencialmente perigosos, não aqueles que recebem um atestado de integridade. Os e-mails são marcados para indicar que um link ou anexo perigoso foi removido ou que podem ser spam ou phishing. E no caso do Outlook no Office 365, esses carimbos geralmente são colocados não no corpo da mensagem, mas em campos especiais. Mais frequentemente, no entanto, esses e-mails são simplesmente excluídos antes de chegarem ao destinatário ou acabam na pasta de lixo eletrônico. Marcar mensagens seguras é ineficiente.

A prática foi empregada em serviços de e-mail gratuitos no passado, mas o objetivo real sempre foi destacar uma vantagem competitiva: um filtro embutido ou mecanismo antivírus.

Como se manter seguro e proteger sua empresa

Mais uma vez, recomendamos que você, de vez em quando, informe seus colegas sobre os truques que cibercriminosos estão fazendo por aí (por exemplo, você pode enviar um link para este post). Para uma maior proteção, é uma boa ideia aumentar a conscientização sobre ciberameaças com a ajuda dos serviços especiais.

E para ter certeza que um anexo foi verificado em busca de todas as possíveis ciberameaças, sem a necessidade de um carimbo no corpo do e-mail, recomendamos implementar uma proteção de e-mail em nível de gateway ou usar  soluções de segurança para o Office 365. Uma proteção na estação de trabalho com um mecanismo antiphishing confiável também não faria mal.

Ameaças avançadas, identicadas ou não

Dicas