theNet by CLOUDFLARE

Os ataques de BEC estão se tornando mais caros

Saiba como a segurança de e-mail tradicional não está ajudando

Os ataques de BEC estão se mostrando caros

No ano passado, cibercriminosos roubaram US$ 2,3 milhões da cidade de Peterborough, New Hampshire, usando ataques baseados em e-mail. O que é pior, as perdas são atribuídas a dois ataques separados do mesmo grupo criminoso, o que significa que o departamento financeiro de Peterborough poderia ter minimizado os danos se tivesse percebido o erro antes.

Mas há uma razão pela qual o departamento não questionou as mensagens. Os e-mails não apenas ignoraram os filtros, mas também pareciam totalmente legítimos. As mensagens não continham erros gramaticais, remetentes desconhecidos ou links suspeitos associados a e-mails maliciosos. Usando algumas mensagens estrategicamente colocadas, os invasores conseguiram se passar por um distrito escolar e depois por uma empresa de construção e desviaram milhões em fundos da cidade para suas próprias contas.

O departamento financeiro de Peterborough foi vítima de um golpe altamente direcionado e difícil de detectar chamado Comprometimento de e-mail corporativo (BEC).

O BEC é uma tática de phishing que não depende de links maliciosos ou malware. Os ataques geralmente consistem em um ou dois e-mails nos quais o invasor finge ser uma entidade conhecida e confiável; fornecedor, funcionário etc. para induzir o destinatário a enviar fundos para uma conta controlada pelo invasor.

Devido à sua natureza direcionada, o BEC não é o tipo mais comum de ataque por e-mail, mas pode ser um dos mais devastadores. Em uma amostra de 31 milhões de ameaças baseadas em e-mail, a Cloudflare descobriu que o BEC teve o menor volume de ataques em 1,34%, mas foi responsável por perdas estimadas em US$ 354 milhões, com perdas individuais em média de US$ 1,5 milhão cada.

Embora os invasores sejam cada vez mais hábeis em explorar a confiança, a segurança de e-mail tradicional é ineficaz na prevenção de BEC. Em vez disso, para proteger a si mesmas e a seus funcionários, as organizações necessitam de estratégias modernas e proativas. Por exemplo, identificar e neutralizar preventivamente a infraestrutura do invasor pode bloquear ataques BEC antes que eles ocorram. Ao mesmo tempo, a análise contextual pode sinalizar mensagens que contornam os filtros ou vêm de contas internas comprometidas. Modernizar a segurança de e-mail com estratégias como essas pode proteger as organizações desses ataques dispendiosos.


Como a segurança do e-mail tradicional fica a desejar

As estratégias tradicionais de segurança de e-mail não foram criadas para lidar com ataques de BEC e, em última análise, deixam as organizações vulneráveis. Essas táticas incluem:

  • Filtros integrados e gateways de e-mail seguros (SEGs): a filtragem de e-mail integrada de provedores como Microsoft ou Google é mais adequada para identificar spam do que tentativas de BEC.Os gateways de e-mail seguros (SEGs) também filtram e-mails suspeitos, mas também lutam para identificar o BEC e têm uma sobreposição significativa com a funcionalidade de e-mail integrada (o que também os torna redundantes).

  • Autenticação de e-mail: a configuração dos registros Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC) pode ajudar a evitar a falsificação de e-mail.No entanto, essas medidas não funcionam contra e-mails de contas legítimas, que são comuns no BEC.

  • Vigilância dos funcionários: a Cloudflare descobriu que 92% dos e-mails relatados pelos usuários são considerados não maliciosos.Esse alto volume de falsos positivos cria fadiga de alerta para a segurança.


Tipos de BEC e como eles diferem do spam

As especificidades dos golpes BEC e os danos que eles causam variam de acordo com o tipo, mas todos eles exploram a confiança:

  • Remetente executivo ou domínio falsificado: esses e-mails usam um executivo como isca.O invasor falsifica o nome do executivo e/ou o domínio da empresa visada.Em seguida, fazendo-se passar pelo executivo, o invasor pede a um funcionário que realize uma transação financeira, como transferir dinheiro ou comprar vales-presente.

  • Conta de funcionário comprometida: um passo à frente em sofisticação, esse tipo de controle de conta interna usa uma conta de funcionário comprometida como ponto de entrada.Ao controlar a conta de um funcionário real (normalmente por meio de senhas roubadas), o invasor se faz passar pelo funcionário e pede a um colega (a vítima) que o ajude a concluir uma transação financeira.

  • Personificação de fornecedor/vendedor: neste ataque, um cibercriminoso se faz passar por um fornecedor ou vendedor com um relacionamento existente com a organização visada.Como o remetente falsificado está fora da organização, as vítimas incautas podem não perceber os sinais indicadores.

  • Fornecedor comprometido/fornecedor infiltrado: este é o tipo mais avançado de BEC e pode levar meses para ser executado.Esses ataques primeiro comprometem um parceiro ou fornecedor da cadeia de suprimentos por meio de um ou mais controles de conta de e-mail.O invasor observa silenciosamente os segmentos de e-mail legítimos e, em seguida, insere-se na conversa no momento certo, direcionando as solicitações de pagamento para uma conta controlada pelo invasor.Em alguns desses ataques à cadeia de suprimentos, a vítima pode nem saber que sofreu perdas financeiras até uma auditoria futura.

Todos esses tipos de ataque podem compartilhar certas características, incluindo engenharia social e criação de urgência. Os invasores manipulam o destinatário não apenas para confiar neles, mas também para agir rapidamente antes que suspeitem. Muitas vezes, eles fornecem motivos pelos quais o destinatário não deve fazer perguntas de acompanhamento antes de concluir a tarefa solicitada. Por exemplo, um e-mail de ataque, supostamente do CEO, pode dizer que eles estão entrando em um voo e ficarão indisponíveis por algumas horas.

Para complicar ainda mais a questão, o estilo altamente direcionado e de baixo volume desses ataques geralmente ignora os filtros de e-mail existentes, que dependem de grandes volumes de ataque para agregar dados. Para que as políticas de ameaças funcionem, os filtros de e-mail precisam desses dados para “aprender” que coisas como domínios, IPs e malware devem ser considerados suspeitos. Embora isso ajude a filtrar as mensagens de spam tradicionais, é insuficiente contra a precisão dos ataques BEC. Os invasores podem criar novos endereços de e-mail, domínios falsificados ou controlar contas de e-mail legítimas, coisas que provavelmente não seriam detectadas pela funcionalidade de segurança de e-mail integrada.


Projetar uma abordagem moderna para a segurança de e-mail

Para combater de forma eficaz os ataques de BEC, as empresas devem moldar suas estratégias em torno dos seguintes princípios:

  • Defesa proativa: em vez de esperar que e-mails maliciosos cheguem à caixa de entrada do funcionário, a tecnologia preditiva pode verificar a infraestrutura do invasor, como novos endereços de e-mail ou domínios fraudulentos, e bloquear preventivamente o remetente.Isso pode reduzir o risco de um funcionário se envolver com o e-mail de um invasor antes que ele seja detectado.

  • Análise contextual: por exemplo, a tecnologia de processamento de linguagem natural (NLP) pode analisar o sentimento da mensagem, o que pode ajudar a identificar a linguagem “urgente”.Além disso, a tecnologia de visão computacional pode ajudar a detectar sites de phishing que geralmente complementam os ataques.Outras soluções incluem análise de encadeamento, que pode ser útil quando os invasores interagem em um encadeamento existente, e análise de perfis de remetentes para determinar o risco que eles representam.

  • Proteção contínua: filtrar as mensagens na chegada não é suficiente, especialmente porque alguns e-mails inevitavelmente ignoram os filtros.Além disso, e-mails maliciosos geralmente são apenas uma parte de um ataque maior, portanto, a proteção além da caixa de entrada é importante.Por exemplo, se um e-mail malicioso passar pelos filtros e um funcionário clicar em um link suspeito, a página web poderá ser carregada em um navegador remoto isolado, protegendo o funcionário e seu dispositivo.Esse tipo de proteção contínua é necessário para impor estratégias de segurança mais holísticas, como o Zero Trust.

  • Implantação multimodo: algumas soluções de segurança de e-mail, como SEGs, devem ser implantadas in-line, o que significa alterar o registro de troca de e-mail (um registro de DNS que direciona e-mails para servidores de e-mail). Esse método funciona melhor para e-mails externos porque fica na frente da caixa de entrada do funcionário e inspeciona todos os e-mails recebidos e enviados. As soluções implementadas por API, por outro lado, geralmente são mais rápidas de configurar. No entanto, uma abordagem somente de API tem a desvantagem de não antecipar um ataque, criando a possibilidade de um funcionário agir em um e-mail antes que ele seja neutralizado. Uma implantação multimodo (ou uma que possa oferecer suporte à implantação in-line ou por API) é melhor porque pode proteger as equipes contra ameaças internas e externas, bem como as mensagens pré e pós-entrega.

  • Automação e preparação para o futuro: procure soluções que não dependam de hardware (o que pode exigir manutenção cara ou envelhecer com o tempo), que gerenciem relatórios de incidentes automaticamente (dando tempo às equipes de segurança) e que não exijam criação manual significativa de políticas contra ameaças (o que pode retardar a proteção e nunca contabilizar totalmente todas as ameaças possíveis).

Uma estratégia de segurança de e-mail moderna, baseada nesses princípios, oferecerá proteção abrangente contra ataques de BEC e outras formas de phishing em todos os estágios do ciclo de ataque para proteger melhor os recursos e dados organizacionais.


Impeça ataques de phishing de forma preventiva

A Cloudflare oferece segurança de e-mail nativa de nuvem que identifica proativamente a infraestrutura do invasor, ao mesmo tempo em que oferece proteção contínua contra BEC e outras formas de ataques por e-mail.

Como parte da plataforma Cloudflare Zero Trust, que protege os aplicativos e a navegação dos funcionários para impedir malware, phishing e perda de dados, a integração dos serviços Email Security com o Zero Trust remove a confiança implícita do e-mail para ajudar os clientes a impedir BEC e ataques de phishing.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.



Principais conclusões

Após ler este artigo, você entenderá:

  • O que está por trás do aumento dos ataques de BEC

  • Como os ataques de BEC diferem do spam

  • Por que as estratégias tradicionais de segurança de e-mail não funcionam contra ataques de BEC

  • Como modernizar as estratégias de segurança de e-mail e prevenir o BEC


Recursos relacionados


Saiba mais sobre esse assunto

Saiba mais sobre como criar uma abordagem proativa de segurança de e-mail com a Cloudflare.

Request a free phishing risk assessment

Receba um resumo mensal das informações mais populares da internet.