Analysis
Como principal meio de comunicação entre pessoas e empresas, o email é um ambiente propício à propagação de ameaças, que através de um ataque individual podem ultrapassar as defesas da organização
Por Maria Beatriz Fernandes . 06/12/2021
Clicar ou não clicar: eis a questão. Nem todos os emails maliciosos vão para o Lixo ou para o Spam e, com fachadas cada vez mais aliciantes, desenvolvidas através de táticas de engenharia social aprimoradas, um simples clique é uma caixa de entrada para ataques complexos e sofisticados, capazes de comprometer organizações inteiras. Os esquemas de engenharia social florescem no caos e em momentos de grande disrupção, desde desastres naturais, ataques terroristas a pandemias, proliferam-se. A Microsoft indica que 54% dos líderes de IT relataram um aumento nos ataques de emails de phishing desde o início da pandemia, com a qual emergiram novas versões de ameaças via email, mascaradas de anúncios governamentais ou até com conselhos e curas falsas para o vírus. Iván Mateos, Sales Engineer da Sophos, explica que “93% dos ciberataques começam com um email” e “o phishing está implicado na maioria”. À pesca de d@dosA palavra phishing surge em meados dos anos 90 quando hackers do AOHell, comummente conhecidos como phreaks, começaram a utilizar o email para ‘pescar’ (do inglês fish for) informações de utilizadores do American Online (AOL). O AOHell continha uma ferramenta – Fisher – que permitia selecionar aleatoriamente utilizadores do AOL, enviando- -lhes uma mensagem automática para verificar a conta: ‘Hi, this is AOL Customer Service. We're running a security check and need to verify your account. Please enter your username and password to continue’. Ao virar do milénio, o phishing chegou às credenciais bancárias e cresceu, exponencialmente. Enquanto principal meio de comunicação entre pessoas e empresas, o email é um ambiente propício à propagação de ameaças e, por isso, uma mina de ouro para atacantes. “O principal risco não são os ataques individuais, mas os conectados, que utilizam veículos como o phishing de emails para ultrapassar as defesas da empresa”, nota o Sales Engineer. Num ataque ao email empresarial, pode haver exposição de informações pessoais de clientes e colaboradores, bloqueio de documentos, “perdas financeiras e perda de credibilidade perante o mercado, entre muitas outras que colocam em causa o negócio”, explica Nuno Mendes, Diretor Geral da Eset em Portugal. “Tendo em conta que o tecido empresarial em Portugal é constituído maioritariamente por micro e pequenas empresas, têm certamente maior dificuldade na perceção do ciber-risco e, consequentemente, na preparação para lidar com ameaças como o phishing”, completa. Endereçar a segur@nçaComo meio de ataque, todas as componentes de um email constituem alertas – o endereço de email e o nome do remetente, o corpo do email, os anexos e os links. A segurança de email é uma de muitas áreas da segurança da informação, que inclui técnicas, ferramentas e soluções utilizadas para proteger domínios e contas de email contra ataques, invasões, acessos não autorizados e perda de dados. Mais, não deve ser pensada como um sistema isolado, envolvendo diferentes frentes de ação dentro da organização. “Neste processo, é importante compreender os principais vetores de risco que envolvem o email”, afirma Nuno Mendes, que diferem de um servidor de email interno (on-premises) para um serviço de email fornecido pela cloud. Mas, é de notar, “não existe uma fórmula mágica que nos proteja a 100%”, esclarece Iván Mateos, que considera que “abordar a proteção do ponto de vista da sensibilização é a melhor estratégia”. Proteger o email não implica seguir apenas um manual de condutas de ciberhigiene – implica triangular a adoção de soluções de segurança de email – “ajustadas aos recursos humanos e financeiros que a organização possui”, observa Nuno Mendes –, a criação de políticas de email consistentes e o investimento na consciencialização. O Sales Engineer da Sophos recomenda uma “defesa por camadas, que garanta proteção em todos os pontos de ataque e combine tecnologia de cibersegurança com simulações de ataque e formação dos colaboradores”. Manual de @çãoPor um lado, devem ser implementadas ferramentas que se “encarreguem de proteger a organização, filtrando o correio que entra e sai”; por outro, ferramentas em que a “sensibilização e a simulação contínuas permitem que os colaboradores aprendam a nunca baixar a guarda e a atuar como se fossem uma camada adicional de segurança”; por fim, “ter ferramentas de proteção pós-receção dos emails”, garantindo que “a proteção dos endpoints está bem aplicada e atualizada para que, caso um colaborador clique num link ou abra um anexo malicioso, seja possível impedir que o ataque comprometa os restantes sistemas”, completa Iván Mateos. A abordagem tecnológica à proteção de email inclui ferramentas e técnicas mais tradicionais, que “analisam assuntos e anexos, filtrando os emails ilegítimos e malware menos elaborado ou que verificam para onde os links redirecionam no momento em que são clicados. Estas soluções costumam ser agnósticas quanto à infraestrutura do email das empresas e, idealmente, integram-se de forma nativa com plataformas mais avançadas”, elucida o Sales Engineer. Adicionalmente, são utilizadas “ferramentas de sandboxing (ambientes de segurança isolados onde se executam os diferentes elementos do email), que procuram eliminar links de phishing e, sobretudo, de ransomware e outros tipos de malware menos agressivos (ainda que perigosos); e a inteligência artificial, que pretende competir com a engenharia social utilizada pelos atacantes”, esclarece Iván Mateos. Além disso, Nuno Mendes, enumera técnicas como a análise heurística avançada, deteção com base em assinaturas e deteções DNA, redes neurais e machine/deep learning, mecanismos de validação e verificação como RBL e DNSBL, fingerprinting, reputação, análise de conteúdo, whitelisting/blacklisting, proteção backscatter e SPF/DKIM e DMARC. Em@il - readyDados da Cisco indicam que, em outubro de 2021, mais de 83% do tráfego de email a nível global era Spam. Mas um relatório recente da F-Secure assinala que os colaboradores estão cada vez mais sensibilizados e capazes de identificar phishing na sua inbox. Dos emails reportados, cerca de um terço são, efetivamente, maliciosos ou altamente suspeitos. Quase 60% dos utilizadores afirma reportar os e-mails após verificar a existência de um link suspeito, remetentes incorretos, anexos duvidosos e suspeitas de Spam. Segundo Iván Mateos, estes dados são um indicador de que “as campanhas de sensibilização e as ferramentas de simulação que as empresas estão a adquirir estão a ter o efeito esperado”. Contudo, “não é uma tarefa de um dia só”, nota o Sales Engineer da Sophos Iberia: “a formação e a sensibilização são uma corrida de longa distância”, uma vez que “os emails que aprendemos a reconhecer hoje, amanhã já estarão reformulados”. Nesse sentido, “o segredo é contar com um programa contínuo de sensibilização que acompanhe as mudanças das táticas de ataque, que seja relevante para o negócio e interessante para o utilizador final”, acrescenta. Com a expansão e evolução do phishing – agora, também comercializado enquanto serviço – as organizações reforçaram e renovaram as suas estratégias e soluções para proteger o email. “As formas de contornar as medidas de segurança do email estão em constante evolução, o que obriga as soluções de segurança a fazer o mesmo”, evolução “clara” com os “novos produtos de segurança baseados em IA”. As camadas de proteção nas soluções de nova geração “estão muito distantes das verificações básicas que se faziam há não muito tempo, ou até das que são oferecidas pela maioria dos fornecedores de serviços de email, cujo nicho não é, obviamente, o da cibersegurança”, conclui o Sales Engineer da Sophos Iberia. |