Por Girish Chander, Group Program Manager, Office 365 Security
Entre todos os crimes cibernéticos, os ataques de phishing continuam a ser os mais frequentes hoje. Com mais de 90% dos ataques vindos de e-mail, é importante que cada organização tenha um plano para evitar que essas ameaças cheguem aos usuários. Na Microsoft, somos apaixonados por fornecer aos nossos clientes proteção simplificada e abrangente contra essas ameaças com o Defender for Office 365. Hoje, anunciamos que a Microsoft está posicionada como líder em The Forrester Wave ™: Email Security, Q2 2021. Ele representa a validação mais recente de nosso esforço, estratégia e foco implacáveis para manter nossos clientes seguros e oferecer proteção líder do setor contra ameaças orquestradas por e-mail e ferramentas de colaboração.
Uma dessas ameaças que tem feito ondas recentemente é uma classe de ataques de phishing chamados de comprometimento de e-mail comercial (BEC). O BEC também está provando ser um dos tipos de ataques mais caros para as organizações – o Internet Crime Complaint Center (IC3) do Federal Bureau of Investigation registrou quase 20.000 reclamações de comprometimento de e-mail comercial somente em 2020, com perdas ajustadas de mais de US $ 1,8 bilhão de acordo com seu relatório IC3 recente. Além do mais, os ataques de BEC continuam a aumentar em escopo e sofisticação. Não é à toa que o comprometimento do e-mail comercial é uma das principais preocupações dos CISOs em todo o mundo, especialmente em um clima em que o trabalho remoto e a colaboração aumentaram significativamente.
Nós, da Microsoft, compartilhamos essa preocupação. E é por isso que temos trabalhado agressivamente para proteger os clientes, detectando e bloqueando esses ataques por meio da inovação em nossos produtos e ficando à frente das ameaças atuais e futuras por meio de pesquisas. Além disso, com a Unidade de Crimes Digitais da Microsoft, temos trabalhado para interromper e impedir essas redes de ataque em parceria com as autoridades.
O que é o comprometimento do e-mail comercial?
O próprio termo sofreu uma evolução ao longo dos anos, mas simplesmente o comprometimento de e-mail comercial (BEC) é um tipo de ataque de phishing que visa as organizações com o objetivo de roubar dinheiro ou informações confidenciais. Em sua essência, é um ataque de engenharia social, em que o invasor tenta enganar o alvo, fazendo-o acreditar que está interagindo com uma entidade confiável. Depois de enganar seu alvo, o invasor continua a persuadi-los a compartilhar informações valiosas ou processar um pagamento.
Esses ataques às vezes são chamados de “Fraude CxO” ou “comprometimento do fornecedor”, usando o nome da entidade que o invasor afirma ser.
Como esses ataques são orquestrados?
Os ataques de BEC são tão perigosos e caros que recentemente dedicamos uma série inteira de blogs a esse tópico em um esforço para aumentar a visibilidade e ajudar a proteger os clientes. A série do blog cobre os vários tipos de táticas usadas em ataques de BEC e os diferentes níveis de sofisticação que vemos nesses ataques. Mas vou resumir algumas das principais lições aqui:
Geralmente, o atacante usa uma das táticas abaixo para enganar um alvo.
- Táticas semelhantes (como domínio ou personificação do usuário):
- Por exemplo, o invasor pode falsificar as propriedades de um e-mail para fazer o remetente parecer uma entidade confiável. Eles podem fazer isso usando o mesmo nome de exibição, mesmo se usando um endereço diferente. Ou eles podem escolher mudanças muito sutis na parte do usuário ou na parte do domínio do endereço de e-mail para fazer o e-mail parecer visualmente semelhante a um endereço de e-mail confiável, como [email protected] (observe o ‘0’ em vez de ‘o’ – que após uma inspeção rápida, pode não ser óbvio para o alvo).
Falsificação de domínio exato:
- Nesse caso, o invasor forja o e-mail para usar exatamente o mesmo endereço de e-mail da ‘entidade confiável’, mas enviado de uma infraestrutura de e-mail que ele possui. Isso é possível devido a domínios protegidos incorretamente (domínios de e-mail sem padrões de autenticação de domínio, como DMARC aplicado).
Para saber mais sobre esses ataques e como eles funcionam, verifique o primeiro blog de nossa série recente.
O que a Microsoft está fazendo para combater as ameaças à segurança?
A Microsoft tem trabalhado em uma abordagem multifacetada para manter os clientes seguros. Um que aproveita nossa enorme escala de óptica e sinais em nosso portfólio de serviços para impulsionar avanços em três dimensões:
- Inovação de produto.
- Foco na pesquisa para acompanhar as estratégias e campanhas em constante mudança.
- Combate ao crime e derrubada de redes de ataque.
Inovação de produto no Microsoft Defender para Office 365
O Defender for Office 365 oferece aos clientes proteção inigualável contra comprometimento de e-mail comercial e outros ataques, como phishing de credencial, whaling, malware, ransomware e muito mais que pode ser orquestrado por e-mail ou outros vetores de colaboração. Em uma era de crimes cibernéticos cada vez maiores, a proteção contra esses ataques é crítica para as organizações protegerem seus usuários.
A enorme escala de proteção oferecida significa que a cada mês o Defender for Office 365 detecta e bloqueia cerca de 40 milhões de e-mails contendo táticas de BEC. Bloqueamos 100 milhões de e-mails com links de credenciais de phishing maliciosos todos os meses. E a cada mês, detectamos e impedimos milhares de atividades comprometedoras do usuário.
Este nível de proteção é combinado com recursos de produto inovadores que abrangem as diferentes esferas de proteção capturadas abaixo – bloqueando e detectando ameaças, maximizando a eficiência e eficácia das equipes de segurança enquanto investigam, procuram e respondem às ameaças e se concentram nos recursos que ajudam a aumentar a conscientização e a preparação do usuário final para esses ataques de engenharia social. Todos estes desempenham um papel crítico na proteção das organizações contra ataques de BEC. Para saber mais sobre esses recursos, verifique o segundo blog da série BEC.
Pesquisa impulsionada pela inteligência humana e Inteligência Artificial (IA)
Em todo o portfólio de produtos de segurança da Microsoft, processamos trilhões de sinais todos os dias. Esta enorme base de sinal leva a melhorias constantes nas camadas de IA que sustentam nossos sistemas de proteção e detecção. Combinamos isso com nossas equipes de pesquisa dedicadas de alto nível. Essa camada de inteligência humana da equipe de Pesquisa de Ameaças do Microsoft 365 Defender aproveita esses sinais para rastrear atores, infraestrutura e técnicas usadas em ataques de phishing e BEC para garantir que o Defender for Office 365 esteja à frente das ameaças atuais e futuras.
Nossa pesquisa mais recente sobre BEC fornece uma investigação de uma campanha que usa infraestrutura de e-mail criada por invasores para facilitar o roubo de dinheiro por meio de cartões-presente. Para saber mais sobre esta campanha, leia a postagem do blog que publicamos.
Combate ao crime cibernético – Unidade de crimes digitais
A Unidade de Crimes Digitais (DCU) da Microsoft se concentra no combate ao crime cibernético por meio de uma combinação de tecnologia, perícia, ações civis e parcerias com as autoridades policiais, geralmente envolvendo encaminhamentos de processos criminais. O DCU rastreia e elimina ativamente os ciber criminosos e a infraestrutura que eles usam. Um bom exemplo disso é como a Microsoft entrou com uma ação legal contra o crime cibernético relacionado ao COVID-19.
Só em 2020, os esforços do DCU levaram à remoção de quase 745.000 URLs de phishing e ao fechamento de mais de 3.500 contas de e-mail maliciosas.
Tome medidas agora para proteger sua organização
O combate ao cibercrime e a eliminação de violações dispendiosas exigirão de todos nós. Na Microsoft, continuaremos nos concentrando nos eixos que abordamos acima para manter nossos clientes protegidos. Mas, para complementar isso, é importante que cada organização leve a sério a ameaça de comprometimento do e-mail comercial. Os CISOs precisam se perguntar: temos o nível certo de proteção contra esses ataques?
No terceiro blog da série, incluímos um conjunto de recomendações que você pode seguir para se proteger agora. Estas são medidas importantes a serem tomadas para proteger seus usuários contra uma violação possivelmente cara:
- Faça upgrade para uma solução de segurança de e-mail que forneça proteção avançada contra phishing, detecção de comprometimento de e-mail comercial, proteção de e-mail interno e detecção de comprometimento de conta.
- Complemente a segurança de e-mail com conscientização e treinamento do usuário.
- Implemente a autenticação multifator para evitar o controle da conta e desabilitar a autenticação legada.
- Revise sua proteção contra falsificação de domínio.
- Implemente procedimentos para autenticar solicitações de transações financeiras ou de dados e mover transações de alto risco para sistemas mais autenticados.
