{"id":16315,"date":"2020-11-02T18:18:30","date_gmt":"2020-11-02T21:18:30","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16315"},"modified":"2020-11-02T22:41:12","modified_gmt":"2020-11-03T01:41:12","slug":"phishing-via-esp","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/phishing-via-esp\/16315\/","title":{"rendered":"Phishing por meio de servi\u00e7os de e-mail marketing"},"content":{"rendered":"

Os golpistas t\u00eam usado estrat\u00e9gias diferentes nos \u00faltimos anos<\/a> para contornar as tecnologias antiphishing, e uma, com alta taxa de sucesso, \u00e9 entregar os links de phishing<\/em> a alvos por meio do uso de servi\u00e7os de e-mail marketing, tamb\u00e9m chamados de servi\u00e7os de provedores de e-mail (ESPs), para o disparo de mensagens em massa como newsletter. Com base nas estat\u00edsticas obtidas por meio de nossas solu\u00e7\u00f5es, esse m\u00e9todo est\u00e1 ganhando relev\u00e2ncia.<\/p>\n

As empresas que levam as amea\u00e7as de e-mail a s\u00e9rio examinam todos os e-mails, usando mecanismos antiv\u00edrus, antiphishing e antispam, antes que as mensagens cheguem \u00e0s caixas de entrada dos usu\u00e1rios. Esses mecanismos n\u00e3o s\u00f3 analisam o conte\u00fado da mensagem, o assunto e os links, mas tamb\u00e9m verificam a reputa\u00e7\u00e3o do destinat\u00e1rio e dos sites vinculados. Para chegar a um veredicto, uma combina\u00e7\u00e3o desses fatores \u00e9 analisada. Por exemplo, se um e-mail em massa vier de um remetente desconhecido, um sinal de alerta ser\u00e1 enviado aos algoritmos de seguran\u00e7a.<\/p>\n

Por que os ataques de phishing s\u00e3o bem-sucedidos com o uso de ESPs<\/h2>\n

As empresas que levam as amea\u00e7as de e-mail a s\u00e9rio fazem uma verifica\u00e7\u00e3o em todos, usando mecanismos antiv\u00edrus, antiphishing e antispam, antes que as mensagens cheguem \u00e0s caixas de entrada dos usu\u00e1rios. Esses mecanismos n\u00e3o s\u00f3 analisam o conte\u00fado da mensagem, o assunto e os links, mas tamb\u00e9m verificam a reputa\u00e7\u00e3o do destinat\u00e1rio e dos sites vinculados. Para chegar a um veredicto, uma combina\u00e7\u00e3o desses fatores \u00e9 analisada. Por exemplo, se um e-mail em massa vier de um remetente desconhecido, um sinal de alerta ser\u00e1 enviado aos algoritmos de seguran\u00e7a.<\/p>\n

Mas os invasores encontraram um m\u00e9todo alternativo: o envio de e-mails em nome de empresas confi\u00e1veis. Os provedores de servi\u00e7os de e-mail marketing, que oferecem gerenciamento de boletim informativo de ponta a ponta, cumprem perfeitamente essa fun\u00e7\u00e3o, pois tem boa reputa\u00e7\u00e3o. As solu\u00e7\u00f5es de seguran\u00e7a permitem seus endere\u00e7os IP por padr\u00e3o e algumas at\u00e9 mesmo ignoram a verifica\u00e7\u00e3o dos e-mails que recebem dessas plataformas.<\/p>\n

Como os ESPs s\u00e3o explorados<\/h2>\n

O principal vetor de ataque \u00e9 \u00f3bvio: \u00e9 o phishing disfar\u00e7ado de e-mail leg\u00edtimo. Em suma, os cibercriminosos se tornam clientes do servi\u00e7o, geralmente pagando pela assinatura mais b\u00e1sica (caso contr\u00e1rio, n\u00e3o faria sentido, pois eles sabem que logo poder\u00e3o ser detectados e bloqueados).<\/p>\n

Mas h\u00e1 uma op\u00e7\u00e3o ainda mais perigosa: usar ESP como host de URL. Desta forma, a newsletter \u00e9 enviada pela infraestrutura pr\u00f3pria do atacante. Por exemplo, os cibercriminosos podem criar uma campanha de teste que contenha a URL de phishing e redirecion\u00e1-la para visualiza\u00e7\u00e3o. O ESP gera um proxy para o referido URL e, em seguida, os cibercriminosos s\u00f3 precisam obter o URL do proxy para seu boletim informativo de phishing. Outra op\u00e7\u00e3o explorada pelos golpistas \u00e9 criar um site de phishing que se pare\u00e7a com um template de newsletter e oferecer um link direto para ele, mas isso acontece com menos frequ\u00eancia.<\/p>\n

De qualquer forma, a nova URL de proxy agora tem uma boa reputa\u00e7\u00e3o, ent\u00e3o n\u00e3o ser\u00e1 bloqueada e a ESP, que n\u00e3o gerencia o mailing, n\u00e3o ver\u00e1 nada de ruim ou bloquear\u00e1 seu \u201ccliente\u201d, pelo menos n\u00e3o at\u00e9 que comece a receber reclama\u00e7\u00f5es. \u00c0s vezes, esses tipos de estrat\u00e9gias tamb\u00e9m fazem parte do spear-phishing.<\/p>\n

O que os EPS acham?<\/h2>\n

Sem surpresa, os ESPs n\u00e3o est\u00e3o pulando de alegria por serem ferramentas para cibercriminosos. A maioria tem suas pr\u00f3prias tecnologias de seguran\u00e7a que examinam o conte\u00fado da mensagem e os links que passam por seus servidores, e quase todos fornecem orienta\u00e7\u00e3o para qualquer pessoa que se depare com phishing em seu site.<\/p>\n

Portanto, os atacantes tamb\u00e9m tentam manter os ESPs calmos. Por exemplo, usar um provedor de proxy, que tende a \u201catrasar\u201d os links de phishing<\/a>, de modo que, no momento de sua cria\u00e7\u00e3o, os links nas mensagens de teste pare\u00e7am leg\u00edtimos e, posteriormente, se tornem maliciosos.<\/p>\n

O que pode ser feito?<\/h2>\n

Em muitos casos, e-mails em massa s\u00e3o enviados para funcion\u00e1rios da empresa cujos endere\u00e7os s\u00e3o p\u00fablicos, e mesmo os mais cuidadosos podem baixar a guarda e clicar onde n\u00e3o deveriam. Para proteger suas equips contra poss\u00edveis ataques de phishing de um servi\u00e7o de marketing por e-mail, recomendamos o seguinte:<\/p>\n