Os invasores tendem a fazer um trabalho meticuloso para projetar ataques de comprometimento de e-mail comercial (BECs). Quando eles se passam por alguém autorizado a transferir fundos ou enviar informações confidenciais, suas mensagens precisam parecer mais legítimas possível. Os detalhes são importantes.
Recentemente, recebemos um exemplo interessante de um e-mail enviado a um funcionário da empresa na tentativa de iniciar uma conversa.
O texto é bastante reduzido e seco para o tipo de e-mail em questão. O invasor deixa claro que o remetente está em uma reunião, portanto, não disponível por outro meio de comunicação. Eles fazem isso para desencorajar a verificação por parte do destinatário, se eles estão de fato enviando mensagens com a pessoa cujo nome aparece na assinatura. Visto que os invasores não tentaram esconder o fato de que o e-mail foi enviado de um serviço público de e-mail, eles sabiam que a pessoa que estavam “imitando“ usava o serviço ou esperavam que fosse normal a empresa usar serviços de e-mail de terceiros para correspondência comercial.
Outra coisa chamou nossa atenção: a assinatura “Enviado do meu iPhone”. Essa assinatura é o padrão do iOS Mail para mensagens de saída, mas os cabeçalhos técnicos sugerem que a mensagem foi enviada por meio da interface da Web e, especificamente, do navegador Mozilla.
Por que os invasores tentaram fazer o e-mail parecer ter sido enviado de um smartphone da Apple? A assinatura automática pode ter sido adicionada para fazer a mensagem parecer respeitável. No entanto, esse não é o truque mais elegante. Os ataques de BEC parecem vir mais frequentemente de um colega de trabalho e as chances são boas de que, nesse caso, o destinatário saiba que tipo de dispositivo essa pessoa utiliza.
Então, os criminosos deviam saber o que estavam fazendo. Mas como? Na verdade, não é difícil. Tudo o que é necessário é algum reconhecimento usando o chamado pixel de rastreamento, também conhecido como Web beacon.
O que é um pixel de rastreamento e por que ele é usado
Via de regra, as empresas que enviam e-mail em massa para clientes, parceiros ou leitores – quase todas as empresas – desejam saber o nível de engajamento que alcançam. Em teoria, o e-mail tem uma opção embutida para enviar confirmações de leitura, mas os destinatários devem consentir seu uso, o que a maioria das pessoas não concorda. Então, profissionais inteligentes de marketing criaram o pixel de rastreamento.
Um pixel de rastreamento é uma imagem minúscula. Com apenas um pixel por um pixel, é indiscernível a olho nu e fica instalada em um site, então, quando um aplicativo cliente de e-mail solicita a imagem, o remetente que controla o site recebe a confirmação de que a mensagem foi aberta, bem como o Endereço IP do dispositivo receptor, a hora em que a mensagem foi aberta e informações sobre o programa que foi usado para abri-lo. Você já percebeu que seu e-mail não exibe imagens até que você clique em um link para baixá-las?
Isso não é para aumentar o desempenho ou limitar o tráfego. Na verdade, os downloads automáticos de imagens costumam ser desativados por padrão por motivos de segurança.
Como um cibercriminosos pode tirar vantagem do pixel de rastreamento?
Um cenário possível: ao viajar para o exterior, você recebe uma mensagem na caixa de entrada do seu e-mail de trabalho que parece relevante para o seu negócio. Assim que você perceber que é apenas uma solicitação indesejada, você fecha e joga a mensagem no lixo, mas enquanto isso, o invasor descobre que:
- Você está em outro país, a julgar pelo seu endereço IP. Isso significa que o contato pessoal com os colegas de trabalho é difícil. Portanto, você pode ser uma pessoa segura para imitar;
- Você está usando um iPhone (você abriu a mensagem com o Mail para iOS), portanto, adicionar uma assinatura “Enviado do meu iPhone” adicionará credibilidade ao e-mail falso;
- Você leu o e-mail às 11h. Isso por si só não é importante, mas se você coletar mensagens regularmente, os cibercriminosos serão capazes de descobrir sua programação e cronometrar um ataque para coincidir com um período em que você tende a não estar disponível.
Como você pode neutralizar esses insights?
Proteger-se do rastreamento é difícil. Isso não significa que você deva facilitar a vida dos cibercriminosos. Sugerimos seguir estas dicas:
- Se o seu cliente de e-mail solicitar que você “clique aqui para baixar as imagens”, isso significa que o conteúdo visual foi bloqueado por motivos de privacidade. Pense antes de permitir. O e-mail pode ficar feio sem imagens, mas, ao dar seu consentimento para baixá-las, você fornece informações sobre você e seu dispositivo a estranhos;
- Não abra o e-mail que chega na sua pasta de spam. Os filtros de spam modernos têm um nível extremamente alto de precisão, especialmente se o seu servidor de e-mail estiver protegido por nossa tecnologia;
- Tenha cuidado com as correspondências em massa de B2B. Uma coisa é quando você deliberadamente assina as atualizações de uma empresa, mas é diferente quando um e-mail vem de uma empresa qualquer, por razões desconhecidas. Neste último caso, é melhor não abrir a mensagem;
- Use soluções robustas com tecnologias avançadas de antispam e antiphishing para proteger seu e-mail corporativo.
Tanto o Kaspersky Total Security for Business (que contém as soluções Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server e Kaspersky Secure Mail Gateway) quanto o Kaspersky Security for Microsoft Office 365 possuem nossa tecnologia antispam e antiphishing.