Os cibercriminosos estão cada vez mais usando campanhas de phishing para atacar ofertas de nuvem, como o Office 365. Uma conta comprometida pertencente a um insider vale seu peso em ouro para eles, pois não apenas permite que eles leiam e-mails, mas também acessem serviços conectados – e lançar novos ataques. NTT Ltda. explica como as empresas devem responder à ameaça de phishing.
Com vários milhões de usuários corporativos ativos todos os dias, as ofertas de nuvem, como o Office 365, estão se tornando cada vez mais atraentes para os cibercriminosos: eles podem usar as técnicas e ferramentas de ataque desenvolvidas para vários alvos de ataque, ou seja, empresas. Além disso, as contas de nuvem e os serviços associados a elas são alvos muito valiosos devido à abundância de dados.
Ataque: análise das relações de contato
Os cibercriminosos usam uma autorização de acesso comprometida para analisar relações de contato, por exemplo, a fim de identificar alvos mais valiosos dentro da empresa. A partir da conta invadida, eles enviam e-mails de phishing para funcionários que presumivelmente têm direitos mais elevados. Isso os torna uma ameaça interna com uma chance particularmente alta de sucesso - afinal, um e-mail de um colega é mais confiável do que um de um estranho. Se as organizações não reconhecerem esses ataques com antecedência, o potencial de dano aumentará rapidamente.
No atual Relatório Mensal de Ameaças da GTIC, a NTT resumiu as experiências da análise de ataques de phishing e recomenda que as empresas considerem os seguintes aspectos:
- Treinar funcionários: Manter a consciência de segurança dos funcionários é um elemento fundamental na defesa contra ataques de phishing. As organizações devem, portanto, treinar continuamente sua força de trabalho no reconhecimento de táticas de engenharia social para identificar melhor os e-mails fraudulentos.
- Monitorar caixas de correio: As empresas devem usar ferramentas de análise para verificar continuamente os arquivos de log da caixa de correio para detectar anomalias. Isso permite que eles determinem, por exemplo, quando uma caixa de correio está sendo acessada de vários endereços IP em um curto período de tempo.
- Bloquear endereços IP: Assim que os responsáveis usarem ferramentas de segurança para identificar endereços IP de um invasor ou endereços IP maliciosos conhecidos, eles devem bloqueá-los.
- Confira as regras de encaminhamento: Os cibercriminosos raramente acessam uma caixa de correio invadida para disfarçar suas atividades e evitar uma possível detecção. Em vez disso, eles costumam criar regras para encaminhar todos os e-mails enviados para obter acesso aos internos da empresa. Portanto, as organizações devem revisar todas as regras de encaminhamento para detectar ameaças e corrigir adulterações.
- Habilite a verificação MailItemsAccessed: O evento MailItemsAccessed é uma ação do monitor de caixa de correio que é acionada quando os dados da caixa de correio são acessados por meio de protocolos de email e clientes. As organizações geralmente pesquisam esses registros em busca de um comprometimento para identificar mensagens e dados acessados por um invasor. Você também pode usar a opção disponível para Office 365 E5 preventivamente para verificar contas confidenciais para acesso não autorizado.
- Implemente a autenticação multifator: A bala de prata de todas as medidas contra phishing é a ativação de uma autenticação multifator (MFA): Isso exige que os usuários forneçam prova adicional de identidade além de seu nome de usuário e senha ao acessar os aplicativos. As empresas devem usar o MFA principalmente ao usar contas em nuvem como o Office 365, pois mesmo com uma conta sequestrada, os cibercriminosos podem acessar não apenas e-mails, mas também dados confidenciais de outros serviços vinculados à conta. Ao expandir o uso de MFA para outros serviços como VPN, as organizações podem fortalecer drasticamente a segurança.
"O phishing ainda representa uma ameaça para as empresas com enorme potencial de dano", explica Sebastian Ganschow, diretor de soluções de segurança cibernética da NTT Ltd. “As empresas devem enfrentar esse perigo com todos os meios técnicos. Mas só isso não é suficiente: você deve treinar seus funcionários para que eles possam reconhecer e-mails fraudulentos com segurança. Uma conscientização abrangente de segurança da força de trabalho é um fator importante na defesa contra e-mails de phishing – especialmente ao usar serviços em nuvem, como o Office 365, que pode servir como uma porta de entrada para os cibercriminosos entrarem na empresa.”
BITKOM: 220 bilhões de danos por ano
Investir em tecnologias de segurança e aplicar medidas de segurança comprovadas é mais do que necessário tendo em vista o grande potencial de prejuízos às empresas. Os custos dos ataques cibernéticos na economia alemã a associação da indústria BITKOM coloca isso em mais de 220 bilhões de euros por ano.
Mais em Global.ntt
Sobre a Divisão de Segurança e a NTT Ltd.
Security é uma divisão da NTT Ltd., uma provedora líder global de serviços de tecnologia. A Divisão de Segurança ajuda as empresas a construir um negócio digital que adere ao princípio de segurança por design. Com base na inteligência global de ameaças, a Divisão de Segurança fornece prevenção, detecção, resposta e resposta a ameaças cibernéticas, ao mesmo tempo em que oferece suporte à inovação de negócios e gerenciamento de riscos. A Divisão de Segurança possui uma rede global de SOCs, sete centros de P&D, mais de 2.000 profissionais de segurança e lida com centenas de milhares de incidentes de segurança anualmente em seis continentes. A divisão também garante o uso eficiente de recursos, fornecendo a combinação certa de serviços de segurança gerenciados, serviços de consultoria de segurança e tecnologia de segurança.