Os ataques de personificação baseados em e-mail são uma forma crescente de BEC (comprometimento de e-mail empresarial) que engana o destinatário, fazendo-o acreditar que o e-mail veio de uma fonte confiável. Na Cloudflare, detectamos e retraímos ataques de personificação baseados em e-mail todos os dias das caixas de entrada dos clientes. Embora a grande maioria desses golpes seja básica, como pedir a um funcionário que compre cartões de presente, os ataques mais sofisticados utilizam novas maneiras de aproveitar a engenharia social e a OSINT para criar e-mails de phishing cada vez mais atraentes.
Você provavelmente já viu e-mails de phishing como o abaixo. Nesse caso, alguém está fingindo ser um funcionário e solicitando que suas informações bancárias para os depósitos da folha de pagamento sejam alteradas.
Fonte da imagem: Cloudflare Email Security
Esse e outros ataques semelhantes utilizam informações básicas sobre os usuários-alvo: nome e cargo, coletados do LinkedIn ou de outras plataformas de mídia social. Geralmente, eles são enviados em massa para muitas organizações e usuários diferentes ao mesmo tempo, uma abordagem de "rede ampla".
Uma forma mais complexa de ataque de personificação é conhecida como VIP/Vendor Impersonation Combo. Neste exemplo, o invasor registrou um domínio falso, fazendo-se passar por um fornecedor legítimo. O invasor também criou um endereço de e-mail que se faz passar por um VIP na organização visada. O invasor cria um tópico de e-mail falso do suposto fornecedor solicitando o pagamento de uma fatura.
Fonte da imagem: Cloudflare Email Security
Isso pode ser particularmente perigoso, pois o tópico forjado confere autoridade à solicitação. De modo geral, esses ataques são mais direcionados do que os ataques de depósito direto enviados por e-mail em massa. Os invasores tende a passar mais tempo pesquisando o ambiente do alvo. No caso de uma conta comprometida, os agentes da ameaça podem ler os e-mails mais recentes do alvo e estão mais bem equipados para legitimar suas solicitações. Vamos dar uma olhada em um exemplo ainda mais complicado de personificação que usa essas táticas.
Fonte da imagem: Cloudflare Email Security
Neste exemplo, temos um agente de ameaça se passando por um funcionário usando um domínio quase idêntico ao domínio legítimo. Além disso, ele sequestrou o tópico de e-mail existente entre as empresas, comprometendo a conta de e-mail do remetente.
Essa é uma forma extremamente perigosa e direcionada de personificação - "comprometimento do fornecedor". Ataques dessa natureza utilizam todas as táticas acima, inclusive a personificação de VIP, a personificação de fornecedor e utilizam as informações coletadas de uma conta de fornecedor comprometida. Nesse caso, havia um alto risco monetário para os clientes. Felizmente, a Cloudflare alerta os clientes, que podem tomar providências antes que o dano seja causado.
À medida que os ataques de personificação evoluem, é muito importante reconhecer os riscos que esses ataques representam para sua organização. Afinal de contas, o e-mail continua sendo o principal vetor de comprometimento das empresas.
A tecnologia avançada de aprendizado de máquina e inteligência artificial do Cloudflare Email Security descobre novas táticas usadas por agentes maliciosos para contornar soluções legadas em tempo real. Veja mais tendências e recomendações recentes para evitar ataques de phishing bem-sucedidos no Relatório sobre ameaças de phising de 2023. Para ver o Cloudflare Email Security em ação, obtenha uma avaliação gratuita de risco de phishing.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Adam Leverette — @adam-leverette
Threat Response Engineer, Cloudflare
Após ler este artigo, você entenderá:
Como os agentes maliciosos usam a falsificação para parecerem legítimos
Três tipos comuns de falsificação de nome
Por que a segurança de e-mail legada não consegue distinguir esse tipo de ataque