{"id":16104,"date":"2020-10-01T19:59:38","date_gmt":"2020-10-01T22:59:38","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16104"},"modified":"2020-10-01T20:04:04","modified_gmt":"2020-10-01T23:04:04","slug":"delayed-phishing-countermeasures","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/delayed-phishing-countermeasures\/16104\/","title":{"rendered":"Como combater o ataque do phishing &#8220;com atraso&#8221;"},"content":{"rendered":"<p>O <a href=\"https:\/\/www.kaspersky.com.br\/blog\/phishing-prevalence-effect\/13773\/\" target=\"_blank\" rel=\"noopener\">phishing<\/a> tem sido o vetor de ataque \u00e0s redes corporativas. N\u00e3o \u00e9 nenhuma surpresa, ent\u00e3o, que tudo e todos, de provedores de e-mail a gateways de e-mail e at\u00e9 navegadores, usem filtros antiphishing e scanners de endere\u00e7os maliciosos. Portanto, os cibercriminosos est\u00e3o constantemente inventando m\u00e9todos e refinando outros antigos de driblar a situa\u00e7\u00e3o. Um desses m\u00e9todos \u00e9 o phishing com atraso.<\/p>\n<h2>O que \u00e9 o phishing com atraso?<\/h2>\n<p>O phishing com atraso \u2013 <em>delayed phishing<\/em> \u2013 \u00e9 uma tentativa de atrair a v\u00edtima para um site malicioso ou falso, usando uma t\u00e9cnica conhecida como URL armada p\u00f3s-entrega (<em>Post-Delivery Weaponized URL<\/em>). Como o nome sugere, a t\u00e9cnica essencialmente substitui o conte\u00fado online por uma vers\u00e3o maliciosa ap\u00f3s a entrega de um e-mail, com um link para essa vers\u00e3o. Em outras palavras, a v\u00edtima potencial recebe um e-mail com um link que n\u00e3o aponta para lugar nenhum ou para um recurso leg\u00edtimo que j\u00e1 pode estar comprometido, mas que naquele ponto n\u00e3o tem conte\u00fado malicioso. Assim, a mensagem passa por quaisquer filtros. Os algoritmos de prote\u00e7\u00e3o encontram o URL no texto, verificam o site vinculado, n\u00e3o encontram nada de perigoso l\u00e1 e permitem a passagem da mensagem.<\/p>\n<p>Em algum ponto ap\u00f3s a entrega (sempre depois que a mensagem \u00e9 entregue e, de prefer\u00eancia, antes de ser lida), os cibercriminosos mudam o site para o qual a mensagem est\u00e1 vinculada ou ativam conte\u00fado malicioso em uma p\u00e1gina anteriormente inofensiva. O plano pode envolver qualquer coisa \u2013 desde um site de banco imitado at\u00e9 uma explora\u00e7\u00e3o de navegador que tenta colocar malware no computador da v\u00edtima. Mas, em cerca de 80% dos casos, \u00e9 um site de phishing.<\/p>\n<h2>Como ele engana os algoritmos de phishing?<\/h2>\n<p>Os cibercriminosos usam um dos tr\u00eas m\u00e9todos a seguir para que suas mensagens passem pelos filtros.<\/p>\n<ul>\n<li><strong>Uso de um link simples<\/strong>. Nesse tipo de ataque, os invasores controlam o site alvo, que eles criaram do zero ou invadiram e sequestraram. Os cibercriminosos preferem a segunda op\u00e7\u00e3o, que tende a ter uma reputa\u00e7\u00e3o positiva, algo parecido com os algoritmos de seguran\u00e7a. No momento da entrega, o link leva a um esbo\u00e7o sem sentido ou (mais comumente) a uma p\u00e1gina com uma mensagem de erro 404.<\/li>\n<li><strong>Troca inesperada de link encurtado<\/strong>. Muitas ferramentas online permitem que qualquer pessoa transforme uma URL longa em uma curto. Links curtos facilitam a vida dos usu\u00e1rios; na verdade, um link curto e f\u00e1cil de lembrar se expande para um grande. Em outras palavras, aciona um redirecionamento simples. Com alguns servi\u00e7os, voc\u00ea pode alterar o conte\u00fado escondido atr\u00e1s de um link curto, uma brecha que os invasores exploram. No momento da entrega da mensagem, o URL aponta para um site leg\u00edtimo, mas depois de um tempo eles o alteram para um site malicioso.<\/li>\n<li><strong>Incluindo um link curto e aleat\u00f3rio<\/strong>. Algumas ferramentas de encurtamento de link permitem o redirecionamento probabil\u00edstico. Ou seja, o link tem 50% de chance de levar ao google.com e 50% de abrir um site de phishing. A possibilidade de pousar em um site leg\u00edtimo aparentemente pode confundir os crawlers (programas para coleta autom\u00e1tica de informa\u00e7\u00f5es).<\/li>\n<\/ul>\n<h2>Quando os links se tornam maliciosos?<\/h2>\n<p>Os criminosos geralmente partem do pressuposto de que a v\u00edtima \u00e9 um trabalhador normal que dorme \u00e0 noite. Portanto, as mensagens de phishing com atraso s\u00e3o enviadas ap\u00f3s a meia-noite (no fuso hor\u00e1rio da v\u00edtima) e tornam-se maliciosas algumas horas depois, perto do amanhecer. Observando as estat\u00edsticas de gatilhos antiphishing, vemos um pico por volta das 7h \u00e0s 10h, quando usu\u00e1rios movidos a caf\u00e9 clicam em links que eram benignos quando enviados, mas agora s\u00e3o maliciosos.<\/p>\n<p>N\u00e3o d\u00ea bobeira para o <a href=\"https:\/\/www.kaspersky.com.br\/blog\/deathstalker-powersing\/15958\/\" target=\"_blank\" rel=\"noopener\">spear-phishing<\/a> tamb\u00e9m. Se os cibercriminosos encontrarem uma pessoa espec\u00edfica para atacar, eles podem estudar a rotina di\u00e1ria da v\u00edtima e ativar o link malicioso, dependendo de quando essa pessoa verifica o e-mail.<\/p>\n<h2>Como identificar o phishing com atraso<\/h2>\n<p>O ideal \u00e9 evitar que o link de phishing chegue ao usu\u00e1rio, portanto, verificar novamente a caixa de entrada parece ser a melhor estrat\u00e9gia. Em alguns casos, isso \u00e9 poss\u00edvel: por exemplo, se sua organiza\u00e7\u00e3o usa um servidor de correio Microsoft Exchange.<\/p>\n<p>A partir de setembro deste ano, o <a href=\"https:\/\/www.kaspersky.com\/small-to-medium-business-security\/microsoft-exchange-server\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Security para Microsoft Exchange Server<\/a> oferece suporte \u00e0 integra\u00e7\u00e3o do servidor de e-mail por meio da API nativa, que permite a verifica\u00e7\u00e3o de mensagens j\u00e1 nas caixas de correio. Um tempo de verifica\u00e7\u00e3o configurado adequadamente garante a detec\u00e7\u00e3o de tentativas atrasadas de phishing sem criar uma carga adicional no servidor no hor\u00e1rio de pico do e-mail.<\/p>\n<p>Al\u00e9m disso, nossa solu\u00e7\u00e3o permite monitorar e-mails internos (que n\u00e3o passam pelo gateway de seguran\u00e7a de e-mails e, portanto, n\u00e3o s\u00e3o vistos por seus filtros e mecanismos de verifica\u00e7\u00e3o), bem como implementar regras de filtragem de conte\u00fado mais complexas. Em casos especialmente perigosos de comprometimento de e-mail comercial (BEC), em que os hackers obt\u00eam acesso a uma conta de e-mail corporativa, a capacidade de verificar novamente o conte\u00fado das caixas de correio e controlar a correspond\u00eancia interna assume particular import\u00e2ncia.<\/p>\n<p>O Kaspersky Security para Microsoft Exchange Server est\u00e1 inclu\u00eddo em nossas solu\u00e7\u00f5es [KSMail placeholder] <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security\/mail-server\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Mail Servers<\/a> [\/KSMail placeholder] e <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security for Business<\/a><\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Links de phishing em e-mails para funcion\u00e1rios geralmente se tornam ativos ap\u00f3s a verifica\u00e7\u00e3o inicial. Mas eles ainda podem e devem ser capturados.<\/p>\n","protected":false},"author":2569,"featured_media":16106,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1185,813,221],"class_list":{"0":"post-16104","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-email","11":"tag-phishing"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/delayed-phishing-countermeasures\/16104\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/delayed-phishing-countermeasures\/21929\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/delayed-phishing-countermeasures\/17405\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/delayed-phishing-countermeasures\/23350\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/delayed-phishing-countermeasures\/21545\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/delayed-phishing-countermeasures\/20159\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/delayed-phishing-countermeasures\/23932\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/delayed-phishing-countermeasures\/22899\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/delayed-phishing-countermeasures\/29129\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/delayed-phishing-countermeasures\/8856\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/delayed-phishing-countermeasures\/37153\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/delayed-phishing-countermeasures\/15717\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/delayed-phishing-countermeasures\/13996\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/delayed-phishing-countermeasures\/25217\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/delayed-phishing-countermeasures\/12006\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/delayed-phishing-countermeasures\/26130\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/delayed-phishing-countermeasures\/22906\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/delayed-phishing-countermeasures\/28223\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/delayed-phishing-countermeasures\/28056\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2569"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=16104"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16104\/revisions"}],"predecessor-version":[{"id":16107,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16104\/revisions\/16107"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/16106"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=16104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=16104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=16104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}