Ataques direcionados de e-mail não se limitam a phishing direcionado e comprometimento de e-mail corporativo (BEC, na sigla em inglês). Outra ameaça séria é o sequestro de conversas. Em resumo, este é um esquema por meio do qual os cibercriminosos se infiltram em uma conversa de e-mail de negócios e se fazem passar por um dos participantes. Este post analisa como esses ataques funcionam e o que fazer para minimizar as chances de sucesso.
Como os cibercriminosos conseguem acessar suas correspondências online?
Para se inserir em uma conversa de e-mail privada, os cibercriminosos precisam de alguma forma ter acesso à caixa de correio ou, pelo menos, ao arquivo de mensagens. Existem vários truques que podem ser usados para isso.
O mais óbvio é hackear a caixa de correio. Para serviços em nuvem, descobrir senhas na força bruta é o método escolhido: os cibercriminosos procuram senhas associadas a um determinado endereço de e-mail em vazamentos de serviços online e tentam usá-las em contas de e-mail corporativas. É por isso que é importante, em primeiro lugar, não usar as mesmas credenciais para diferentes serviços e, em segundo lugar, não fornecer um endereço de e-mail corporativo ao se registrar em sites não relacionados ao trabalho. Um método alternativo é acessar e-mails por meio de vulnerabilidades no software do servidor.
Os criminosos raramente permanecem no controle de um endereço de e-mail corporativo por muito tempo, mas geralmente têm tempo suficiente para baixar o arquivo de mensagens. Às vezes, eles criam regras de encaminhamento nas configurações para receber os e-mails que chegam na caixa de correio em tempo real. Assim, eles podem apenas ler as mensagens e não enviar nenhuma. Se pudessem enviar, provavelmente tentariam realizar um ataque BEC.
Outra opção é o malware. Recentemente, nossos especialistas descobriram uma campanha massiva de sequestro de conversas destinada a infectar computadores com o trojan QBot. Os e-mails nos quais os cibercriminosos plantaram sua carga maliciosa provavelmente vieram de vítimas anteriores do mesmo malware QBot (que pode acessar arquivos de mensagens locais).
Mas os autointitulados hackers ou operadores de malware não necessariamente adotam a técnica de sequestrar conversas – às vezes, arquivos de mensagens são vendidos na dark web e usados por outros golpistas.
Como funciona o sequestro de conversações?
Os cibercriminosos vasculham arquivos de mensagens em busca de e-mails entre várias empresas (parceiros, contratados, fornecedores etc.). As datas não importam – os golpistas podem retomar conversas muito antigas. Depois de encontrar uma troca de e-mails adequada, eles escrevem para uma das partes envolvidas, se passando por outra parte. O objetivo é enganar a pessoa do outro lado a fazer algo exigido pelos cibercriminosos. Antes de começar, eles às vezes trocam algumas mensagens apenas para reduzir a vigilância do alvo.
Como o sequestro de conversas é um ataque direcionado, ele muitas vezes usa um domínio semelhante; ou seja, um domínio visualmente muito próximo ao de um dos participantes, mas com alguma pequena inconsistência – digamos, um domínio de nível superior diferente, uma letra extra ou um símbolo substituído por um semelhante.
Para que é usado o sequestro de conversações?
Os objetivos do sequestro de conversas geralmente são bastante banais: roubar credenciais de login para obter acesso a algum recurso, enganar a vítima para enviar dinheiro para a conta dos atacantes ou fazer com que a vítima abra um anexo malicioso ou siga um link para um site infectado.
Como se proteger contra o sequestro de conversas?
A principal ameaça que o sequestro de conversações representa é que esses e-mails são bastante difíceis de detectar automaticamente. Felizmente, nosso arsenal inclui o Kaspersky Security for Microsoft Office 365, uma solução que detecta tentativas de participar furtivamente de conversas de outras pessoas. Para mitigar ainda mais os riscos tanto para você quanto para seus parceiros de negócios, recomendamos:
- Proteger os dispositivos dos funcionáriospara dificultar o roubo de arquivos de mensagens.
- Usar senhas exclusivas para contas de e-mail de corporativo.
- Minimizar o número de serviços externos registrados em endereços de e-mail de trabalho
- Mudar a senha após um incidente de e-mail e verificar se há regras de encaminhamento indesejadas nas configurações.