Os ataques de comprometimento de e-mail comercial são alguns dos mais perniciosos que existem. Eles são uma combinação ideal de aparentemente inocentes, mas incrivelmente difíceis de parar. A única maneira de detê-los, segundo o Gartner, é implantá-los dentro do servidor de e-mail na nuvem via API; oferecer proteção interna de e-mail entre usuários; use o aprendizado de máquina avançado para contexto de e-mail interno e ofereça proteção contra tomada de conta.
Gateways externos, como o Proofpoint, não podem fazer isso devido à sua arquitetura. Empresas como Mimecast e Proofpoint são projetadas apenas para monitorar e-mails recebidos — portanto, não têm como verificar um e-mail interno ou entender o contexto ou as relações de conversação dentro de uma organização. Quando um gateway externo vê um e-mail do ‘CEO’ para o ‘CFO’, será a primeira vez que verá tal conversa. Embora uma solução interna tenha visto milhares de conversas internas reais semelhantes para compará-la, um gateway externo só pode adivinhar o contexto.
Vemos isso em ação neste ataque observado pelos pesquisadores da Check Point. A diferença entre como o SmartPhish da Avanan lida com isso e o Proofpoint é gritante.
Passo 1: O Pergunte
Isso aparece como um e-mail do CFO da empresa. A TI tem todas as marcas clássicas de um ataque BEC. Eles estão pedindo uma tarefa urgente e uma resposta imediata. A linha de assunto usa táticas clássicas de engenharia social. Como usuário final, este e-mail pode fazer com que você aja. Como você pode negar uma tarefa urgente de alguém no C-Suite?
Passo 2: A Miss
A Proofpoint marcou isso como limpo. Para gateways como o Proofpoint, os ataques BEC são incrivelmente difíceis. Não há malware, nem URL malicioso. Sem o contexto interno, eles veem este e-mail como um único ponto no tempo. É a primeira vez que eles veem esse pedido do CFO. Eles não sabem se este é um pedido típico ou não. Porque eles estão cegos para o contexto, eles estão olhando para as coisas erradas. Eles estão procurando por falsificação de domínio ou nome de exibição, bem como domínios semelhantes. Aqueles não são processados neste ataque.
Etapa 3: o SmartPhish entra em ação
Avanan vê isso de forma diferente. Analisamos a assinatura no corpo e entendemos que o endereço de e-mail não corresponde. Além disso, a Avanan tem todas as proteções necessárias para impedir o BEC. Ele possui algoritmos de aprendizado de máquina que combinam com a análise contextual baseada em função de conversas anteriores para determinar as ameaças que outras pessoas perderam. No dia da implantação, analisamos um ano de conversas por e-mail para construir uma rede de reputação confiável. Verificamos e colocamos em quarentena e-mails e arquivos internos em tempo real, evitando ataques leste-oeste e ameaças internas. Por fim, temos proteção contra invasão de conta que vai além do e-mail, analisando eventos de login, alterações de configuração e atividades do usuário final em todo o pacote.
Etapa 4: a investigação conclui
Podemos ver que este endereço de e-mail e e-mail é arriscado, tornando isso uma ameaça real para quem só tem Proofpoint.
Fonte: avanan.com
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
