O que é comprometimento de e-mail corporativo (BEC)?

O comprometimento de e-mail corporativo (BEC) é um ataque de engenharia social baseado em e-mail que visa fraudar suas vítimas. As campanhas de ataque de BEC geralmente escapam dos filtros de e-mail tradicionais.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir o comprometimento de e-mail corporativo (BEC)
  • Relacionar algumas das características comuns dos e-mails de BEC
  • Descrever os métodos para parar as campanhas BEC

Copiar o link do artigo

O que é comprometimento de e-mail corporativo (BEC)?

O comprometimento de e-mail corporativo (BEC) é um tipo de ataque de engenharia social que ocorre por e-mail. Em um ataque BEC, um invasor falsifica uma mensagem de e-mail para induzir a vítima a realizar alguma ação — na maioria das vezes, transferir dinheiro para uma conta ou local que o invasor controla. Os ataques BEC diferem de outros tipos de ataques baseados em e-mail em algumas áreas principais:

  1. They do not contain malware, malicious links, or email attachments
  2. Visam indivíduos específicos dentro das organizações
  3. Eles são personalizados para a vítima pretendida e muitas vezes envolvem pesquisa prévia da organização em questão

Os ataques BEC são particularmente perigosos porque não contêm malware, links maliciosos, anexos de e-mail perigosos ou outros elementos que um filtro de segurança de e-mail possa identificar. Os e-mails usados em um ataque BEC normalmente só contêm texto, o que ajuda os invasores a camuflá-los dentro do tráfego normal de e-mails.

Além de ignorar os filtros de segurança de e-mail, os e-mails de BEC são projetados especificamente para induzir o destinatário a abri-los e agir com base na mensagem que eles contêm. Os invasores usam a personalização para adaptar o e-mail à organização de destino. O invasor pode se passar por alguém com quem a vítima se corresponde regularmente por e-mail. Alguns ataques de BEC ocorrem até mesmo no meio de uma sequência de e-mails já existente.

Normalmente, um invasor se passará por alguém em uma posição mais alta na organização para motivar a vítima a realizar a solicitação maliciosa.

Por que os ataques BEC são tão difíceis de detectar?

Outras razões pelas quais os ataques BEC são difíceis de identificar podem incluir:

  • Eles são de baixo volume: picos incomuns no tráfego de e-mails podem alertar os filtros de segurança de e-mail sobre um ataque em andamento. Mas os ataques BEC são de volume extremamente baixo, geralmente consistindo em apenas um ou dois e-mails. Eles podem ser realizados sem gerar um pico no tráfego de e-mails. Esse baixo volume permite que uma campanha BEC também altere regularmente seu endereço de IP de origem, dificultando o bloqueio da campanha.
  • Eles usam uma fonte ou domínio legítimo: ataques de phishing em larga escala geralmente vêm de endereços de IP que são rapidamente bloqueados na lista de bloqueio. Os ataques BEC, por serem de baixo volume, podem usar endereços de IP que tenham uma reputação neutra ou boa como origem. Eles também usam falsificação de domínio de e-mail para fazer parecer que os e-mails vêm de uma pessoa real.
  • Eles podem vir de uma conta de e-mail legítima: os ataques BEC podem usar uma caixa de entrada de e-mail comprometida anteriormente para enviar suas mensagens maliciosas em nome de uma pessoa sem seu conhecimento, então o e-mail pode vir de um endereço de e-mail legítimo. (Isso requer um esforço significativamente maior por parte do invasor, mas essa despesa de esforço focado é característica das campanhas de BEC).
  • Eles passam nas verificações do DMARC: o Domain-based Message Authentication Reporting and Conformance (DMARC) é um protocolo para identificar e-mails enviados de um domínio sem autorização. Ele ajuda a evitar a imitação de um domínio. As campanhas de BEC podem passar pelo DMARC por alguns motivos: 1) as organizações podem não ter configurado o DMARC para bloquear estritamente os e-mails; 2) os invasores podem enviar e-mails de uma fonte legítima.

O que os e-mails de BEC normalmente contêm?

Normalmente, os e-mails de BEC contêm algumas linhas de texto e não incluem links, anexos ou imagens. Nessas poucas linhas, eles visam fazer com que o alvo tome a ação que eles desejam, seja transferir fundos para uma conta específica ou conceder acesso não autorizado a dados ou sistemas protegidos.

Outros elementos comuns de um e-mail de BEC podem incluir:

  • Urgência em relação ao tempo: palavras como "urgente", "rápido", "lembrete", "importante" e "em breve" geralmente aparecem em e-mails de BEC, especialmente na linha de assunto, para que o destinatário aja o mais rápido possível — antes que perceba que pode ser alvo de um golpe.
  • Remetente com autoridade: os invasores de BEC se passam por alguém importante na organização: o CFO ou o CEO, por exemplo.
  • Imitação completa do remetente: os e-mails de BEC podem se passar por remetentes legítimos (por exemplo, o CFO de uma organização) falsificando seu endereço de e-mail, imitando o estilo de escrita da pessoa ou usando outras táticas para enganar a vítima.
  • Fornecer um motivo para a solicitação: às vezes, para adicionar legitimidade ao que pode ser uma solicitação incomum, um e-mail de BEC fornecerá algum motivo pelo qual a ação é necessária. Isso também adiciona urgência ao pedido.
  • Instruções específicas: os invasores fornecem instruções claras, como para onde o dinheiro deve ir e quanto deve ser enviado — é mais provável que um valor específico pareça legítimo. Os invasores podem incluir essas informações no e-mail inicial ou em um e-mail de acompanhamento se a vítima responder.
  • Instruções para não entrar em contato com o suposto remetente: se a vítima pretendida puder alcançar a suposta fonte do e-mail de BEC por outro canal de comunicação, ela poderá identificar o e-mail como falso. Para evitar isso, os invasores geralmente instruem a vítima a não entrar em contato com o remetente ou confirmar a solicitação com outra pessoa, talvez para agir rapidamente.

Os gateways de e-mail seguros (SEGs) bloqueiam campanhas de BEC?

Um gateway de e-mail seguro (SEG) é um serviço de segurança de e-mail que fica entre os provedores de e-mail e os usuários de e-mail. Ele identifica e filtra e-mails possivelmente maliciosos, assim como um firewall remove o tráfego de rede malicioso. Os SEGs oferecem proteção adicional além das medidas de segurança integradas que a maioria dos provedores de e-mail já oferece (Gmail e Microsoft Outlook, por exemplo, já possuem algumas proteções básicas).

No entanto, os SEGs tradicionais têm dificuldade em detectar campanhas de BEC bem construídas pelos motivos descritos acima: baixo volume, falta de conteúdo obviamente malicioso, uma fonte aparentemente legítima para o e-mail e assim por diante.

Por esse motivo, o treinamento dos usuários e as medidas adicionais de segurança de e-mail são muito importantes para impedir o comprometimento do e-mail corporativo.

O que os usuários devem fazer quando suspeitam de uma campanha de BEC?

Solicitações incomuns, inesperadas ou repentinas são um sinal de um possível ataque de BEC. Os usuários devem relatar possíveis mensagens de BEC às equipes de operações de segurança. Eles também podem verificar novamente com a suposta fonte do e-mail.

Imagine que o contador Bob recebe um e-mail da CFO Alice:

Bob,

Preciso enviar a um cliente alguns cartões-presente para sua pizzaria favorita. Compre US$10.000 em cartões-presente de pizza e transfira-os para este endereço de e-mail do cliente: customer@example.com

Faça isso rapidamente. O tempo é MUITO IMPORTANTE. Não queremos perder este cliente.

Estou embarcando em um avião e estarei fora de alcance durante as próximas horas.

-Alice

Essa solicitação parece incomum para Bob: entregar cartões-presente de pizza aos clientes normalmente não é o trabalho do departamento de contabilidade. Ele liga para Alice, caso ela ainda não tenha "embarcado em um voo". Ela atende o telefone e não sabe nada sobre a solicitação que supostamente acabou de enviar para ele. E nem está embarcando em um voo. Bob acabou de detectar um ataque de BEC.

Que outras medidas técnicas podem detectar e bloquear ataques de BEC?

Detecção antecipada de infraestrutura de phishing

Alguns provedores de segurança de e-mail rastreiam a web com antecedência para detectar servidores de comando e controle (C&C), sites falsos e outros elementos que os invasores usarão em uma campanha de BEC ou ataque de phishing. Isso requer o uso de bots de crawler da web para escanear grandes áreas da internet (os mecanismos de pesquisa também usam bots de crawler da web, mas para propósitos diferentes). A identificação antecipada da infraestrutura de ataque permite que o provedor bloqueie os e-mails ilegítimos no momento em que são enviados, mesmo que possam passar por filtros de segurança.

Análise de aprendizado de máquina

O aprendizado de máquina é uma maneira de automatizar o processo de previsão de resultados com base em um grande conjunto de dados. Ele pode ser usado para detectar atividades fora do comum — por exemplo, o Gerenciamento de bots da Cloudflare usa aprendizado de máquina como um método para identificar atividades de bots. Para interromper ataques de BEC, o aprendizado de máquina pode ajudar a identificar solicitações incomuns, padrões de tráfego de e-mail atípicos e outras anomalias.

Analisar as sequências de e-mail

Como os invasores de BEC geralmente tentam responder a uma sequência existente para adicionar legitimidade aos seus e-mails, alguns provedores de segurança de e-mail monitoram as sequências para ver se os e-mails "de" ou "para" em uma sequência são alterados repentinamente.

Processamento de linguagem natural

Isso significa procurar frases-chave nos e-mails para saber a quais tópicos um determinado conjunto de contatos de e-mail normalmente corresponde. Por exemplo, pode ser possível rastrear com quem uma determinada pessoa em uma organização se corresponde sobre transferências de dinheiro, relações com clientes ou qualquer outro tópico. Se os e-mails recebidos pelo Bob (do exemplo acima) raramente tratam de relações com clientes, a inclusão de frases como "um cliente" e "perder este cliente" no e-mail da "Alice" pode ser um sinal de que o e-mail faz parte de um ataque de BEC.

Como o Cloudflare Area 1 Email Security detecta o BEC?

O Cloudflare Area 1 Email Security foi projetado para capturar ataques de BEC que a maioria dos SEGs não consegue detectar. Ele faz isso usando muitos dos métodos descritos acima: rastreando a internet em busca de infraestrutura de ataque, empregando análise de aprendizado de máquina, analisando sequências de e-mail, analisando conteúdo de e-mail e assim por diante.

O e-mail continua sendo um dos maiores vetores de ataque, tornando a segurança de e-mail cada vez mais essencial para as organizações atualmente. Saiba mais sobre como funciona o Cloudflare Area 1 Email Security.