Blog

Como combater uma nova técnica de phishing assustadora

Por Amy Gorrell | 21 Janeiro, 2016

Graças às inovações em autenticação de e-mails, em especial ao padrão DMARC (Domain-based Authentication Reporting and Conformance), empresas hoje têm mais recursos do que nunca para proteger suas marcas e clientes contra ataques de phishing. Infelizmente, os cibercriminosos são igualmente inovadores, criando novas táticas assustadoras para garantir que mensagens fraudulentas sejam entregues nas caixas de entrada. O “ataque de força bruta” é uma dessas novas técnicas.

O que é um ataque de força bruta?
Ataques de força bruta foram originalmente desenvolvidos para a infiltragem em computadores protegidos por senhas. Assim como os ataques “dictionary” (em inglês), em que fraudadores acessam sistematicamente listas de combinações para decifrar senhas, os ataques de força bruta testam todas as combinações possíveis de letras e números para obter acesso às máquinas. Dados da Return Path revelam que cibercriminosos utilizam esses novos ataques para enviar mensagens de spam e phishing a partir de subdomínios de marcas muito conhecidas.

Como funcionam os ataques de força bruta?
A maioria das empresas possui diversos domínios de envio de e-mail, sendo que alguns podem estar prontos para a implementação do DMARC e outros não. Por exemplo, digamos que o principal domínio de envio de sua marca (exemplo.com) esteja pronto para a política de rejeição do DMARC, mas o subdomínio (sub.exemplo.com) não esteja: é possível que você implemente a política do DMARC para o domínio exemplo.com sem aplicá-la em seus subdomínios.

Em termos técnicos, você pode fazer isso com um tag “sp=” (ou tag de política do subdomínio) de “none”, para que a política do domínio principal não seja herdada no subdomínio. Ao mesmo tempo em que essa técnica pode ajudar a garantir que o tráfego legítimo de e-mails nos subdomínios não seja bloqueado, também faz com que domínios secundários fiquem vulneráveis.
Nos últimos meses, observamos fraudadores obtendo vantagens com essa vulnerabilidade – eles estão espalhando ataques de força bruta a partir de combinações aleatórias de letras e números de subdomínios associados aos domínios principais de marcas legítimas.

Fraudadores utilizam combinações aleatórias para que usuários despreparados confiem no nome da marca presente no subdomínio e cliquem em links ou anexos maliciosos. Por exemplo, se um cibercriminoso estivesse atacando o domínio principal de envio da exemplo.com, ele tentaria enviar a mensagem de phishing a partir dos domínios 1.exemplo.com. 2.exemplo.com, a.exemplo.com, b.exemplo.com e etc.

Como lutar contra ataques de força bruta
Agora que você sabe de que um ataque de força bruta é capaz, vamos entender como prevení-lo.

Em primeiro lugar, garanta que todos seus subdomínios legítimos tenham sua própria política do DMARC ou uma herança da política do domínio de envio principal. Se uma grande quantidade de remetentes terceirizados (como salesforce.com ou MailChimp) enviam mensagens em nome do domínio principal de sua empresa e você não está pronto para movê-los para “reject”, é possível mantê-lo no modo de monitoração do DMARC, mas adicionar uma tag de política do subdomínio de “reject” para proteger todos os domínios secundários.

O principal ponto é: só porque você está monitorando e protegendo o principal domínio de envio de sua marca, não significa que sua empresa e clientes estejam a salvo. Ataques de phishing podem ocorrer em subdomínios que estão fora de seu campo de visão.

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.