Links de phishing em e-mails para funcionários geralmente se tornam ativos após a verificação inicial. Mas eles ainda podem e devem ser capturados.

O phishing tem sido o vetor de ataque às redes corporativas. Não é nenhuma surpresa, então, que tudo e todos, de provedores de e-mail a gateways de e-mail e até navegadores, usem filtros antiphishing e scanners de endereços maliciosos. Portanto, os cibercriminosos estão constantemente inventando métodos e refinando outros antigos de driblar a situação. Um desses métodos é o phishing com atraso.

O que é o phishing com atraso?

O phishing com atraso – delayed phishing – é uma tentativa de atrair a vítima para um site malicioso ou falso, usando uma técnica conhecida como URL armada pós-entrega (Post-Delivery Weaponized URL). Como o nome sugere, a técnica essencialmente substitui o conteúdo online por uma versão maliciosa após a entrega de um e-mail, com um link para essa versão. Em outras palavras, a vítima potencial recebe um e-mail com um link que não aponta para lugar nenhum ou para um recurso legítimo que já pode estar comprometido, mas que naquele ponto não tem conteúdo malicioso. Assim, a mensagem passa por quaisquer filtros. Os algoritmos de proteção encontram o URL no texto, verificam o site vinculado, não encontram nada de perigoso lá e permitem a passagem da mensagem.

Em algum ponto após a entrega (sempre depois que a mensagem é entregue e, de preferência, antes de ser lida), os cibercriminosos mudam o site para o qual a mensagem está vinculada ou ativam conteúdo malicioso em uma página anteriormente inofensiva. O plano pode envolver qualquer coisa – desde um site de banco imitado até uma exploração de navegador que tenta colocar malware no computador da vítima. Mas, em cerca de 80% dos casos, é um site de phishing.

Como ele engana os algoritmos de phishing?

Os cibercriminosos usam um dos três métodos a seguir para que suas mensagens passem pelos filtros.

• Uso de um link simples. Nesse tipo de ataque, os invasores controlam o site alvo, que eles criaram do zero ou invadiram e sequestraram. Os cibercriminosos preferem a segunda opção, que tende a ter uma reputação positiva, algo parecido com os algoritmos de segurança. No momento da entrega, o link leva a um esboço sem sentido ou (mais comumente) a uma página com uma mensagem de erro 404.
• Troca inesperada de link encurtado. Muitas ferramentas online permitem que qualquer pessoa transforme uma URL longa em uma curto. Links curtos facilitam a vida dos usuários; na verdade, um link curto e fácil de lembrar se expande para um grande. Em outras palavras, aciona um redirecionamento simples. Com alguns serviços, você pode alterar o conteúdo escondido atrás de um link curto, uma brecha que os invasores exploram. No momento da entrega da mensagem, o URL aponta para um site legítimo, mas depois de um tempo eles o alteram para um site malicioso.
• Incluindo um link curto e aleatório. Algumas ferramentas de encurtamento de link permitem o redirecionamento probabilístico. Ou seja, o link tem 50% de chance de levar ao google.com e 50% de abrir um site de phishing. A possibilidade de pousar em um site legítimo aparentemente pode confundir os crawlers (programas para coleta automática de informações).

Quando os links se tornam maliciosos?

Os criminosos geralmente partem do pressuposto de que a vítima é um trabalhador normal que dorme à noite. Portanto, as mensagens de phishing com atraso são enviadas após a meia-noite (no fuso horário da vítima) e tornam-se maliciosas algumas horas depois, perto do amanhecer. Observando as estatísticas de gatilhos antiphishing, vemos um pico por volta das 7h às 10h, quando usuários movidos a café clicam em links que eram benignos quando enviados, mas agora são maliciosos.

Não dê bobeira para o spear-phishing também. Se os cibercriminosos encontrarem uma pessoa específica para atacar, eles podem estudar a rotina diária da vítima e ativar o link malicioso, dependendo de quando essa pessoa verifica o e-mail.

Como identificar o phishing com atraso

O ideal é evitar que o link de phishing chegue ao usuário, portanto, verificar novamente a caixa de entrada parece ser a melhor estratégia. Em alguns casos, isso é possível: por exemplo, se sua organização usa um servidor de correio Microsoft Exchange.

A partir de setembro deste ano, o Kaspersky Security para Microsoft Exchange Server oferece suporte à integração do servidor de e-mail por meio da API nativa, que permite a verificação de mensagens já nas caixas de correio. Um tempo de verificação configurado adequadamente garante a detecção de tentativas atrasadas de phishing sem criar uma carga adicional no servidor no horário de pico do e-mail.

Além disso, a solução permite monitorar e-mails internos (que não passam pelo gateway de segurança de e-mails e, portanto, não são vistos por seus filtros e mecanismos de verificação), bem como implementar regras de filtragem de conteúdo mais complexas. Em casos especialmente perigosos de comprometimento de e-mail comercial (BEC), em que os hackers obtêm acesso a uma conta de e-mail corporativa, a capacidade de verificar novamente o conteúdo das caixas de correio e controlar a correspondência interna assume particular importância.

O Kaspersky Security para Microsoft Exchange Server está incluído nas soluções Kaspersky Security for Mail Servers e Kaspersky Total Security for Business.

Confira o artigo original clicando aqui.