Soluções de perímetro como Secure Email Gateways (SEGs) têm sido há muito tempo uma pedra angular da segurança de e-mail, historicamente servindo como a principal linha de defesa contra e-mails maliciosos que entram em uma organização. Utilizando tecnologia legada como detecção baseada em assinatura e reputação, os SEGs têm fornecido intervenção pré-entrega colocando ataques maliciosos em quarentena antes que eles cheguem ao destinatário final.
Por que, então, 91% dos líderes de segurança cibernética estão frustrados com seus SEGs e 87% estão considerando uma substituição?
Entre muitas outras preocupações, como sua sobreposição de funcionalidade com o Microsoft 365 e o fardo administrativo de regras complexas e manuais, uma das principais razões para essa grande mudança de atitude se resume à eficácia. À medida que o cenário de ameaças continua a evoluir, os criminosos cibernéticos estão encontrando maneiras de contornar a tecnologia de detecção de SEG. Além disso, o grande fardo de manter a tecnologia legada retarda a capacidade dos fornecedores de SEG de inovar suas soluções de forma inovadora. É por isso que, nos primeiros três meses de 2024, identificamos um aumento de 52,2% no número de ataques que contornaram a detecção de SEG.
Detecção baseada em assinatura
Um mecanismo de detecção essencial usado pela tecnologia SEG é a detecção baseada em assinatura, que pode ser eficaz contra “malwares conhecidos”, como cargas maliciosas, domínios de envio e hiperlinks que foram previamente identificados e estão presentes em bibliotecas de definição.
Embora isso possa ser eficiente na filtragem de ataques frequentes e spam, o fato de a ameaça precisar ser “conhecida” pode reduzir drasticamente sua eficácia ao detectar ataques de dia zero, e-mails de phishing de engenharia social sem uma carga útil tradicional e qualquer hiperlink ou domínio que seja polimórfico por natureza. Isso é especialmente preocupante, pois o surgimento da IA e dos chatbots disponíveis publicamente permitiram que os criminosos cibernéticos produzissem novas cargas úteis em uma escala alarmante — cada uma não reconhecida por nenhuma lista de bloqueio.
Ofuscação
Existem algumas técnicas de phishing e payloads que podem facilmente ignorar a detecção baseada em assinatura. Em primeiro lugar, a ofuscação é uma tática-chave usada por criminosos cibernéticos para mascarar payloads maliciosos e escapar da tecnologia de detecção baseada em assinatura. Nos primeiros três meses de 2024, 24,9% dos ataques que empregaram medidas técnicas para ignorar a detecção sequestraram um hiperlink legítimo. Essa forma de ofuscação envolve hospedar um payload malicioso em um site legítimo ou usar um link de site legítimo para obscurecer o destino final. Além disso, 19,6% dos ataques ocultaram hiperlinks para sites de phishing em anexos baseados em imagem, e 16,2% usaram contrabando de HTML, onde um script malicioso codificado é “contrabandeado” dentro de um anexo HTML.
Engenharia Social
A chave para a detecção de assinaturas é a presença de alguma forma de “mal conhecido”. Então, o que acontece quando o ataque não inclui nenhuma forma de carga física?
Os cibercriminosos estão cada vez mais usando inteligência de código aberto (OSINT) para criar e-mails de phishing convincentes que se passam por partes interessadas confiáveis em um negócio ou cadeia de suprimentos. Esses ataques dependem de técnicas de engenharia social para enganar o destinatário a realizar ações como divulgar informações pessoais ou alterar detalhes financeiros, sem exigir que ele clique em um hiperlink de phishing tradicional.
Portanto, sem qualquer carga física, ataques puramente linguísticos e de engenharia social têm grande probabilidade de contornar a detecção de assinatura. Isso é especialmente verdadeiro se o ataque for enviado de um domínio que não está listado em nenhuma lista de bloqueio, como uma conta legítima, mas comprometida, ou um domínio de e-mail falsificado com autenticação adequada.
Ataques polimórficos
Em 2024, nossa equipe de Threat Intelligence viu campanhas em que os cibercriminosos utilizaram subdomínios polimórficos para alterar sutilmente o final do endereço de envio em cada e-mail de phishing. Isso torna quase impossível para as equipes de segurança bloquear cada e-mail, pois um novo domínio aparecerá no lugar de cada um relatado.
Detecção baseada em reputação
Semelhante ao conceito de “conhecido ruim” na detecção baseada em assinatura, a tecnologia SEG também usa detecção baseada em reputação para identificar tráfego de domínios maliciosos previamente identificados. Para fazer isso, ele analisará listas de bloqueio predefinidas, a idade do domínio e verificações de autenticação, como SPF, DKIM e DMARC. Ao reunir informações sobre origem, idade e verificação, a detecção baseada em reputação deve ser capaz de sinalizar um remetente malicioso.
Algumas tecnologias de perímetro também empregarão verificações de gráficos sociais para determinar relacionamentos preexistentes entre contas. Portanto, se duas pessoas se comunicaram por e-mail antes, o endereço do remetente é considerado “seguro”.
Mas, assim como acontece com a maioria das tecnologias legadas, os cibercriminosos encontraram soluções alternativas para enviar ataques com sucesso para a caixa de entrada do destinatário.
Domínio de e-mail semelhante
Outra tática que vimos utilizada em 2024 são os domínios de e-mail semelhantes. Ao contrário das falsificações diretas, os e-mails semelhantes têm alguns caracteres sutilmente alterados, permitindo que o cibercriminoso configure verificações de autenticação adequadas. Nossa equipe de Threat Intelligence suspeita que a facilidade de configuração da autenticação contribuiu para o fato de que 68,4% dos ataques que contornaram a detecção de SEG nos primeiros três meses de 2024 passaram em todas as verificações.
Contas legítimas, mas comprometidas
Em 2024, quase metade (48,3%) dos ataques que contornaram um SEG foram enviados de contas legítimas, mas comprometidas. Seja de dentro do próprio negócio do alvo, da cadeia de suprimentos ou de uma conta de terceiros não vinculada à sua organização, uma conta comprometida tem grande probabilidade de contornar a tecnologia baseada em reputação.
Se o ataque tiver origem na cadeia de suprimentos dos destinatários, as contas comprometidas também podem garantir que os ataques ignorem qualquer tipo de detecção de gráfico social, pois haverá um relacionamento preexistente e, portanto, “seguro” entre as duas contas.
Um ataque em ação – um exemplo de e-mail de phishing 'perfeito' para contornar a tecnologia SEG
Abaixo, nossa equipe de Threat Intelligence montou o ataque 'perfeito' para contornar a tecnologia legada. Embora existam outros fatores psicológicos que entram em jogo, focamos em três razões principais pelas quais ele contornaria a detecção baseada em reputação e assinatura.
1. Este e-mail de phishing veio de uma conta legítima, mas comprometida, na cadeia de suprimentos do destinatário, o que significa que o e-mail passará por todas as verificações de autenticação.
2. O cibercriminoso sequestrou uma cadeia de e-mail, o que significa que há um relacionamento preexistente entre o remetente e o destinatário. Consequentemente, isso passaria por qualquer verificação de gráfico social.
3. O ataque é puramente linguístico, o que significa que não há carga física para a tecnologia de detecção baseada em assinatura escanear.
Adaptando-se à nova era de ataques de phishing
À medida que os cibercriminosos evoluem suas estratégias, as limitações dos SEGs legados se tornam mais aparentes. O aumento de ameaças sofisticadas de phishing, como ataques polimórficos, táticas de engenharia social e o uso de contas comprometidas, sem dúvida, destacaram as lacunas significativas na tecnologia de perímetro, levando a um aumento notável em ataques ignorados.
Velhos hábitos são difíceis de morrer, mas para combater efetivamente essas ameaças avançadas, as organizações devem considerar a transição para soluções integradas de segurança de e-mail em nuvem (ICES). Ao alavancar métodos de detecção baseados em comportamento e alimentados por IA e adotar uma abordagem de confiança zero, essas soluções modernas oferecem proteção superior, garantindo que até mesmo os ataques mais avançados sejam detectados, mitigados e neutralizados.
Crédito da imagem: bloomua/depositphotos.com
Jack Chapman é vice-presidente sênior de inteligência de ameaças na Egress, uma empresa KnowBe4
![T-Mobile conclui com sucesso teste de alerta de emergência sem fio via satélite Starlink](https://emundodigital.com/wp-content/uploads/2024/09/T-Mobile-conclui-com-sucesso-teste-de-alerta-de-emergencia-sem.jpeg")
![Scosche lança novos acessórios para os mais recentes dispositivos da Apple](https://emundodigital.com/wp-content/uploads/2024/09/Scosche-lanca-novos-acessorios-para-os-mais-recentes-dispositivos-da.jpeg")
![Usei o KnowRoaming eSIM em uma viagem pela França e foi isso que aprendi (análise)](https://emundodigital.com/wp-content/uploads/2024/09/Usei-o-KnowRoaming-eSIM-em-uma-viagem-pela-Franca-e.jpg")