Como evitar que o e-mail corporativo seja usado para disseminar spam e vírus?

A falta de uma aparência de legitimidade ainda é a principal falha das campanhas de spam por e-mail. Por mais que o design das mensagens e os arquivos anexos sejam bem trabalhados, com muita engenharia social e design, um remetente não correspondente pode colocar tudo a perder. Os criminosos sabem disso e, aos poucos, na medida em que as tecnologias de segurança se tornam mais avançadas, começam a se aproveitar de vetores de intrusão, também, para disseminar grandes campanhas maliciosas.

• O que é spam? | 12 dicas de como evitá-lo
• Phishing, apps falsos e vazamentos: quais serão os principais perigos em 2022?

Aconteceu na última semana, quando recebemos, na redação do Canaltech, mais uma tentativa de golpe em nome do Twitter. Seria uma ocorrência comum, principalmente neste caso, em que o contato está disponível na rede social em uma conta verificada, não fosse o fato de uma empresa brasileira estar sendo usada como vetor — pior ainda, a mensagem fraudulenta veio de um endereço verdadeiro, criado a partir do domínio real da companhia.

Trata-se de uma técnica chamada de spoofing, no qual endereços e domínios legítimos são falsificados por agentes criminosos, que enganam servidores de e-mail para fazer parecer que a mensagem está sendo enviada a partir da infraestrutura de terceiros. Empresas também podem ter seus domínios e servidores invadidos, seja por meio de brechas de segurança ou o uso de credenciais inseguras, com os próprios endereços sendo usados para a disseminação de spam.

No caso visto pela reportagem, se trata de uma distribuidora de produtos odontológicos, um elemento que não conversa exatamente com o golpe — um suposto alerta do Twitter sobre violações que poderiam levar à perda do selo de verificado da conta. Entretanto, a origem foi suficiente para que a mensagem passasse ilesa por mecanismos de segurança, chegando à caixa de entrada sem marcações de spam ou conteúdo perigoso.

“Em um ataque [desse tipo], um [criminoso] cria um e-mail que parece ser legítimo. Seu objetivo é enganar os usuários para que cliquem em um link ou anexo malicioso, dando a ele acesso à rede ou ativos corporativos importantes”, explica Fernando de Falchi, gerente de engenharia de segurança e evangelista da Check Point Software Brasil. No caso visto pela reportagem, por exemplo, o foco estava nas credenciais de acesso ao Twitter.

O suposto alerta leva o usuário a um site não relacionado à rede social, mas que simulava sua aparência para obter e-mail e senha de acesso. Entretanto, nessa etapa, mais um comprometimento, com o site de uma empresa canadense de produtos em madeira sendo usada para redirecionar a vítima até o endereço fraudulento, novamente, como forma de evadir a detecção por sistemas de segurança.

Não deu muito certo e, durante a apuração da reportagem, ferramentas de segurança como o Defender, da Microsoft, começaram a detectar o endereço como fraudulento até que o site, finalmente, foi retirado do ar. Isso resolve, claro, parte do problema, já não o todo, já que a ideia é que houve comprometimento tanto da empresa brasileira de produtos odontológicos quanto da madeireira canadense, com ambas podendo, perfeitamente, serem usadas novamente em ataques de phishing.

De acordo com dados da Check Point, apenas no Brasil, 68% dos ataques usando arquivos maliciosos foram entregues por e-mail, um total que chega a 94% em todo o mundo. Tal número acompanha, também, um aumento de 50% no volume de ciberataques por semana em 2021, na comparação com o ano anterior, o que mostra um foco cada vez maior dos criminosos nas redes corporativas, principalmente em um ambiente de regimes híbridos ou de home office.

Como evitar cair em golpes por e-mail?

Por mais que a campanha citada na reportagem tenha seus toques arrojados, elas ainda assim não escapam do principal calcanhar de Aquiles dos ataques de phishing, que é a falta de relação entre o remetente dos e-mails e seu assunto. Ainda assim, tons alarmistas ou a falta de atenção dos usuários podem fazer com que tais golpes sejam efetivos, principalmente quando a mensagem não é identificada automaticamente como perigosa e sai direto para a caixa de entrada.

• LEIA MAIS: Como identificar golpes online via e-mail ou páginas falsas?

“Um e-mail com conteúdo surpreendente ou urgente, que requer ação imediata do usuário, geralmente, é sinal de ataque de phishing”, explica de Falchi. Na visão dele, apesar do susto, o ideal é não clicar em links ou baixar arquivos anexos, entrando em contato por meios oficiais com o serviço sobre o qual o alerta foi dado em busca de informações sobre a veracidade do aviso.

Além disso, ele indica cautela dos usuários corporativos na análise do conteúdo destas mensagens, com as quais não se deve interagir ao menor sinal de suspeita. “É melhor entrar em contato com a equipe de TI e descobrir que não é nada do que arriscar infectar o computador ou a rede corporativa com malware”, completa o evangelista da Check Point.

Como proteger as redes corporativas contra ataques de spoofing

O foco em análises e monitoramento é o melhor caminho para evitar o uso da infraestrutura corporativa em ataques contra terceiros, bem como intrusões que possam levar à instalação de malware e ao vazamento de dados ou realização de sequestro digital. “As organizações devem priorizar o fechamento de quaisquer brechas de segurança em suas novas redes distribuídas, desde os PCs domésticos dos funcionários, dispositivos móveis, data centers e ambientes na nuvem”, explica de Falchi.

O foco nos e-mails é importante, afirma ele, mas esse é apenas um dos múltiplos vetores de ataque, tanto quando o assunto é o foco na infraestrutura ou o uso dela na disseminação de novos golpes. Por isso, o evangelista aponta a prevenção dem tempo real como o melhor caminho para proteger redes, usuários e dados.

Um gerenciamento unificado das diferentes plataformas, por exemplo, ajuda nas tarefas de gestão de risco, enquanto uma redução no número de soluções e fornecedores auxilia no monitoramento. Quanto menos portas abertas, final de contas, menor a superfície de ataque, bem como a geração de relatórios e o monitoramento pelos administradores de rede. “Consolidar é uma orientação principal. O mais alto nível de visibilidade aumenta a eficácia da segurança e, com tantas mudanças, é essencial fazer perguntas-chave: ‘Estamos protegendo os itens certos? Perdemos um ponto cego?’”, completa o especialista.