Você está aqui: Página Inicial / Blog / Como combater o ataque de phishing “com atraso”

Como combater o ataque de phishing “com atraso”

Links de phishing em e-mails para funcionários geralmente se tornam ativos após a verificação inicial. Mas eles ainda podem e devem ser capturados.

O phishing tem sido o vetor de ataque às redes corporativas. Não é nenhuma surpresa, então, que tudo e todos, de provedores de e-mail a gateways de e-mail e até navegadores, usem filtros antiphishing e scanners de endereços maliciosos. Portanto, os cibercriminosos estão constantemente inventando métodos e refinando outros antigos de driblar a situação. Um desses métodos é o phishing com atraso.

O que é o phishing com atraso?

O phishing com atrasodelayed phishingé uma tentativa de atrair a vítima para um site malicioso ou falso, usando uma técnica conhecida como URL armada pós-entrega (Post-Delivery Weaponized URL). Como o nome sugere, a técnica essencialmente substitui o conteúdo online por uma versão maliciosa após a entrega de um e-mail, com um link para essa versão. Em outras palavras, a vítima potencial recebe um e-mail com um link que não aponta para lugar nenhum ou para um recurso legítimo que já pode estar comprometido, mas que naquele ponto não tem conteúdo malicioso. Assim, a mensagem passa por quaisquer filtros. Os algoritmos de proteção encontram o URL no texto, verificam o site vinculado, não encontram nada de perigoso lá e permitem a passagem da mensagem.

Em algum ponto após a entrega (sempre depois que a mensagem é entregue e, de preferência, antes de ser lida), os cibercriminosos mudam o site para o qual a mensagem está vinculada ou ativam conteúdo malicioso em uma página anteriormente inofensiva. O plano pode envolver qualquer coisa – desde um site de banco imitado até uma exploração de navegador que tenta colocar malware no computador da vítima. Mas, em cerca de 80% dos casos, é um site de phishing.


Como ele engana os algoritmos de phishing?

Os cibercriminosos usam um dos três métodos a seguir para que suas mensagens passem pelos filtros.

  • Uso de um link simples. Nesse tipo de ataque, os invasores controlam o site alvo, que eles criaram do zero ou invadiram e sequestraram. Os cibercriminosos preferem a segunda opção, que tende a ter uma reputação positiva, algo parecido com os algoritmos de segurança. No momento da entrega, o link leva a um esboço sem sentido ou (mais comumente) a uma página com uma mensagem de erro 404.

  • Troca inesperada de link encurtado. Muitas ferramentas online permitem que qualquer pessoa transforme uma URL longa em uma curta. Links curtos facilitam a vida dos usuários; na verdade, um link curto e fácil de lembrar se expande para um grande. Em outras palavras, aciona um redirecionamento simples. Com alguns serviços, você pode alterar o conteúdo escondido atrás de um link curto, uma brecha que os invasores exploram. No momento da entrega da mensagem, o URL aponta para um site legítimo, mas depois de um tempo eles o alteram para um site malicioso.

  • Incluindo um link curto e aleatório. Algumas ferramentas de encurtamento de link permitem o redirecionamento probabilístico. Ou seja, o link tem 50% de chance de levar ao google.com e 50% de abrir um site de phishing. A possibilidade de pousar em um site legítimo aparentemente pode confundir os crawlers (programas para coleta automática de informações).

Quando os links se tornam maliciosos?

Os criminosos geralmente partem do pressuposto de que a vítima é um trabalhador normal que dorme à noite. Portanto, as mensagens de phishing com atraso são enviadas após a meia-noite (no fuso horário da vítima) e tornam-se maliciosas algumas horas depois, perto do amanhecer. Observando as estatísticas de gatilhos antiphishing, vemos um pico por volta das 7h às 10h, quando usuários movidos a café clicam em links que eram benignos quando enviados, mas agora são maliciosos.

Não dê bobeira para o spear-phishing também. Se os cibercriminosos encontrarem uma pessoa específica para atacar, eles podem estudar a rotina diária da vítima e ativar o link malicioso, dependendo de quando essa pessoa verifica o e-mail.


Como identificar o phishing com atraso

O ideal é evitar que o link de phishing chegue ao usuário, portanto, verificar novamente a caixa de entrada parece ser a melhor estratégia. Em alguns casos, isso é possível: por exemplo, se sua organização usa um servidor de correio Microsoft Exchange.


Reprodução de: https://www.kaspersky.com.br/blog/delayed-phishing-countermeasures/16104/