As regras automatizadas de caixa de entrada de e-mail são um recurso útil e familiar da maioria dos programas de e-mail. Eles ajudam a gerenciar sua caixa de entrada e o fluxo diário de mensagens desejadas e indesejadas, permitindo que você mova e-mails para pastas específicas, encaminhe-os para colegas quando estiver ausente ou exclua-os automaticamente.
No entanto, uma vez comprometida uma conta, os invasores podem abusar das regras da caixa de entrada para disfarçar novos ataques, por exemplo, exfiltrando secretamente informações da rede por meio de encaminhamento, garantindo que a vítima não veja avisos de segurança e excluindo determinadas mensagens.
E-mail como principal vetor de ataque
Embora a segurança do e-mail tenha evoluído e o uso do aprendizado de máquina tenha facilitado a detecção de criações suspeitas de regras de caixa de entrada, os invasores continuam a usar essa técnica com sucesso. Como isso requer uma conta comprometida, o número geral dessa ameaça é provavelmente baixo, mas ainda representa uma séria ameaça à integridade dos dados e ativos de uma organização – até porque a criação de regras por um invasor é uma técnica. O comprometimento ocorre, o que significa já está na rede e são necessárias contramedidas imediatas.
Os ataques baseados em email têm uma alta taxa de sucesso e são um ponto de entrada comum para muitos outros ataques cibernéticos. A pesquisa da Barracuda descobriu que 75% das empresas pesquisadas em todo o mundo sofreram pelo menos uma violação de segurança de e-mail em 2022. Esses ataques variam desde simples ataques de phishing e links ou anexos maliciosos até técnicas sofisticadas de engenharia social, como Business Email Compromise (BEC), sequestro de conversa e controle de conta. Alguns dos tipos mais avançados estão associados a regras de e-mail maliciosas.
Regras de e-mail automatizadas
Para criar regras de e-mail malicioso, os invasores devem ter comprometido uma conta alvo, por exemplo, por meio de um e-mail de phishing bem-sucedido ou usando credenciais roubadas obtidas em uma violação anterior. Depois que o invasor obtiver o controle da conta de e-mail da vítima, ele poderá configurar uma ou mais regras de e-mail automatizadas.
Os invasores podem definir uma regra para encaminhar todos os e-mails com palavras-chave confidenciais e potencialmente lucrativas, como “pagamento”, “fatura” ou “confidencial”, para um endereço externo. Além disso, eles também podem abusar das regras de e-mail para ocultar determinados e-mails recebidos, movendo essas mensagens para pastas raramente usadas, marcando e-mails como lidos ou simplesmente excluindo-os. Por exemplo, para ocultar alertas de segurança, mensagens de comando e controle ou respostas a e-mails internos de spearphishing enviados da conta comprometida, ou para encobrir seus rastros do proprietário da conta que provavelmente usará a conta usada ao mesmo tempo. sem saber dos intrusos. Além disso, os invasores também podem abusar das regras de encaminhamento de e-mail para monitorar as atividades da vítima e coletar informações sobre a vítima ou a organização da vítima para usar em ataques ou operações posteriores.
Ataques BEC (comprometimento de e-mail comercial)
Nos ataques BEC, os cibercriminosos tentam convencer as suas vítimas de que um e-mail é de um utilizador legítimo, a fim de fraudar a empresa e os seus funcionários, clientes ou parceiros. Por exemplo, os invasores podem configurar uma regra que exclua todos os e-mails recebidos de um funcionário ou gerente específico, como o Diretor Financeiro (CFO). Isso permite que os criminosos se passem por um CFO e enviem e-mails falsos aos funcionários para convencê-los a transferir fundos da empresa para uma conta bancária controlada pelos invasores.
Em novembro de 2020, o FBI divulgou um relatório sobre como os cibercriminosos estão explorando a falta de sincronização e visibilidade de segurança entre clientes de email baseados na Web e desktop para definir regras de roteamento de email, aumentando a probabilidade de um ataque BEC bem-sucedido.
Ataques de e-mail de estado-nação
Regras de e-mail malicioso também são usadas em ataques direcionados a estados-nação. A Estrutura de Táticas e Técnicas Adversárias MITRE ATT&CK® nomeia três APTs (Advanced Persistent Threat Groups) que usam a técnica de encaminhamento de e-mail malicioso (T1114.003). Estes são o Kimsuky, um grupo estatal de ameaças de espionagem cibernética, o LAPSUS$, conhecido pelos seus ataques de extorsão e perturbação, e o Silent Librarian, outro grupo estatal ligado ao roubo de propriedade intelectual e investigação.
O MITRE classifica as regras de ocultação de e-mail (T1564.008) como uma técnica usada para contornar as defesas de segurança. Um APT conhecido por usar essa técnica é o FIN4, um agente de ameaças com motivação financeira que cria regras nas contas das vítimas para excluir automaticamente e-mails que contenham palavras como "hackeado", "phishing" e contenham "malware", provavelmente para impedir o acesso de TI da vítima. equipe de informar os funcionários e outras pessoas sobre suas atividades.
Medidas de segurança ineficazes
Se uma regra maliciosa não for detectada, ela permanecerá em vigor mesmo que a senha da vítima seja alterada, a autenticação multifator seja habilitada, outras políticas estritas de acesso condicional sejam implementadas ou o computador seja completamente reconstruído. Enquanto a regra permanecer em vigor, ela permanecerá em vigor.
Embora regras de e-mail suspeitas possam ser uma boa indicação de um ataque, observar essas regras isoladamente não é um sinal suficiente de que uma conta foi comprometida. As defesas devem, portanto, usar vários sinais para reduzir informações irrelevantes e alertar a equipe de segurança sobre um provável ataque de e-mail bem-sucedido. A natureza dinâmica e evolutiva dos ataques cibernéticos, incluindo o uso de táticas sofisticadas pelos invasores, exige uma abordagem em vários níveis para detecção e resposta.
Medidas de defesa eficazes
Como a criação de regras de caixa de entrada é uma técnica pós-comprometimento, a proteção mais eficaz é a prevenção, ou seja, impedir que invasores invadam a conta em primeiro lugar. No entanto, as organizações também precisam de medidas eficazes de detecção e resposta a incidentes para identificar contas comprometidas e mitigar o impacto destes ataques. Isso inclui visibilidade completa de todas as ações realizadas na caixa de entrada de cada funcionário e quais regras são criadas, o que foi alterado ou acessado, o histórico de login do usuário, horário, local e contexto dos emails enviados e muito mais. Soluções avançadas de segurança de e-mail baseadas em IA usam esses dados para criar um perfil de conta inteligente para cada usuário, sinalizando instantaneamente qualquer anomalia, não importa quão pequena seja. A proteção contra roubo de identidade também usa vários sinais, como credenciais de login, dados de e-mail e modelos estatísticos, juntamente com regras para detectar um ataque de controle de conta.
Por fim, a detecção e resposta estendida (XDR) e o monitoramento 24 horas por dia, 7 dias por semana por um centro de operações de segurança (SOC) podem ajudar a garantir que mesmo atividades profundamente ocultas e ofuscadas sejam detectadas e neutralizadas. Abusar das regras da caixa de entrada é uma das táticas mais pérfidas usadas pelos cibercriminosos. No entanto, com as medidas acima, as empresas podem defender-se adequadamente contra esta ameaça para proteger os seus dados e activos sensíveis.
Mais em Barracuda.com
Sobre a Barracuda Networks A Barracuda se esforça para tornar o mundo um lugar mais seguro e acredita que todas as empresas devem ter acesso a soluções de segurança em toda a empresa habilitadas para nuvem que sejam fáceis de adquirir, implantar e usar. A Barracuda protege e-mail, redes, dados e aplicativos com soluções inovadoras que crescem e se adaptam ao longo da jornada do cliente. Mais de 150.000 empresas em todo o mundo confiam na Barracuda para que possam se concentrar no crescimento de seus negócios. Para mais informações, visite www.barracuda.com.