URL não é tudo

Roger Grimes, Evangelista da KnowBe4

Para ler o artigo original em inglês, clique aqui.

Para determinar se um e-mail é um ataque de phishing ou não, você deve observar a mensagem como um todo.

Preciso admitir, sou culpado. Quando recebo um e-mail com aparência de phishing, a primeira coisa que faço é passar o mouse sobre o link para verificar sua legitimidade. E a maioria dos e-mails de phishing contém domínios que parecem estranhos. Tanto é que eu escrevi sobre isso anteriormente e produzi um webinar para ensinar como localizar URLs desonestas. Você pode até baixar a versão em PDF do nosso poster sobre URLs Desonestas (imagem abaixo) para uma revisão rápida ou para compartilhar com colegas de trabalho.

Analisar URLs incluídas em mensagens é fundamental para determinar se o e-mail é malicioso ou não.

Mas não é o único aspecto que incrimina a mensagem!

URL não é tudo

Precisamos examinar o conjunto da mensagem potencialmente suspeita para determinar se ela é realmente maliciosa ou não. A investigação de URLs é uma parte importante desse processo, mas existem muitos cenários de phishing em que as URLs são indeterminadas ou mesmo legítimas. Por exemplo, muitos domínios utilizados em ataques de phishing são criados a partir de serviços comuns e compartilhados. Por exemplo, muitos vêm de onmicrosoft.com (domínios hospedados em 0365), gmail.com ou sendgrid.net. Sempre suspeito de mensagens que chegam do domínio sendgrid.net porque muitos ataques vêm de lá. Mas também percebi que um dos meus portais de segurança favoritos, Spiceworks, envia todos os seus e-mails a partir de sendgrid.net. E isso não é ruim. Sendgrid.net é um serviço legítimo, usado principalmente por pessoas com boas intenções; mas, por estar disponível publicamente, também é frequentemente usado por golpistas – assim como os domínios públicos compartilhados da Microsoft e do Google.

Ataques de phishing muitas vezes chegam a partir de domínios privados legítimos. Eles também podem ser um domínio sequestrado e aí o link envolvido não tem nada a ver com o fato da marca ser falsa. Por exemplo, o link de uma URL desonesta é algo como waterworks.com/inbox/subscriptions/rogue.jsp. Você pode dizer que o domínio/site de alguém foi sequestrado por um atacante que encontrou o caminho para desativar o serviço legítimo e explorar opções de golpes.

Às vezes, não apenas o domínio é legítimo, mas também vem de uma marca confiável com a qual você faz negócios regularmente. Isso porque quem você confia pode ter sido “ownado” e essas pessoas nem sabem que podem ser um meio para ataques de spear phishing contra aqueles que fazem negócios com elas. Esses tipos de ataque são conhecidos como “ataques de phishing de terceiros” e escrevi sobre eles aqui.

E, apesar da sua experiência e conhecimento, olhar para a URL simplesmente não diz de maneira assertiva se um e-mail suspeito é definitivamente um ataque de phishing.

Descobri que confiava demais na observação da URL e no primeiro (e muitas vezes único) sinal de que a mensagem era maliciosa ou não. Tanto que quase aprovei alguns e-mails maliciosos como legítimos. Isso aconteceu tantas vezes que pensei que pudesse deixar algum phishing passar. E embora eu soubesse que dependia demais da análise da URL, não consegui abandonar o hábito de primeira. Ainda me peguei olhando primeiro para a URL de uma mensagem suspeita e, muitas vezes, tomando a decisão ali mesmo.

Tudo menos a URL

Então, criei um novo desafio para mim. Por meses, se eu suspeitasse que um e-mail ou uma situação na internet era maliciosa, me recusaria a analisar a URL até terminar uma observação completa daquele cenário. Investiria meu tempo em perceber quantos outros sinais de alerta de engenharia social poderia encontrar. Eu vi erros de digitação óbvios? Eu vi incompatibilidades entre assunto e conteúdo? Eu vi incompatibilidades de endereço de e-mail? O e-mail chegou em um horário estranho? O e-mail foi um pedido inesperado para algo que eu nunca tinha feito antes? O e-mail possuía uma mensagem urgente que me mandava fazer algo bem rápido ou haveria consequências? Ele está me pedindo para realizar uma ação que pode resultar em danos? E assim por diante.

Meu exercício autoimposto foi um sucesso! Em todos os casos de e-mail (ou site) de phishing legítimo, encontrei várias outras pistas que, em sua totalidade, indicavam que eu estava lidando com um ataque. Muitas vezes, quando cheguei à URL, já havia tomado minha decisão. Eis a lição mais importante: quando decidi analisar a URL por último, fui capaz de determinar se um e-mail era malicioso ou não com maior assertividade. Eu não deixei a URL ser o principal fator de decisão. Com meu antigo comportamento, analisando a URL sozinha ou primeiro, havia momentos em que eu não poderia confirmar se a situação era de fato um ataque. Usando minha nova estratégia, consegui determinar a legitimidade com mais rapidez e precisão.

Ainda não consegue confirmar a legitimidade?

Ataques de phishing conseguem andar de mãos dadas com a realidade. Percebo que mais mensagens maliciosas têm aparecido para mim e não consigo determinar com facilidade se são mesmo phishing. Aqui está o que eu faço:

Primeiro, se existe a possibilidade, confirmo o e-mail externamente, utilizando outras informações que não as fornecidas na mensagem. Por exemplo, se a mensagem afirma que algo aconteceu à minha conta e que preciso verificar ou vincular o serviço a uma conta que eu realmente uso: não clico na URL do e-mail, simplesmente vou até o domínio legítimo, faço login e espero receber a mesma mensagem de aviso. Caso contrário, o e-mail suspeito era uma farsa. Se a mensagem possui um número de telefone, especialmente se for solicitado que eu ligue: procuro o site da empresa real na internet, lá consta um número de telefone para o qual eu devo ligar. Se o e-mail alega ser de um departamento de minha organização ou de um fornecedor, eu ligo para o número de telefone legítimo que já possuo. Não ligo para o número de telefone descrito no e-mail suspeito. Os golpistas costumam ter “centrais de comando” falsos e operadores prontos para responder com a marca certa.

Quando não posso dizer com certeza se a mensagem é um phishing ou não, posso conversar sobre o assunto com um colega de confiança. Dois pares de olhos são melhores do que um. Tenho um colega de trabalho em quem confio para determinar a legitimidade. Às vezes, quando estou em apuros, encaminho o e-mail para ele… com um grande aviso no assunto indicando que a mensagem é uma suspeita de phishing. E ele sempre me ajuda a ver sinais que não percebi por conta própria.

Na KnowBe4, também acreditamos que um botão de alerta funciona. Nosso Phish Alert Button (PAB) é uma ferramenta gratuita e funciona com clientes de e-mail Microsoft Outlook e Gmail. Ele instala um botão “macro” na barra de ferramentas do cliente de e-mail e o usuário pode clicar ali para relatar e excluir possíveis ataques de phishing. Os administradores determinam onde reunir todas as ameaças com antecedência. Ele permite que a equipe de segurança investigue tentativas de phishing individuais com mais rapidez e consiga informar aos usuários finais se aquilo era uma tentativa de phishing real ou simulada.

Se eu tiver tempo, posso enviar o e-mail suspeito para uma conta de e-mail “descartável” que possuo no Hotmail e, em seguida, abri-la em uma máquina virtual isolada e segura. Escrevi sobre como usar o recurso Sandbox do Windows 10 para fazer isso; embora, no geral, eu prefira os recursos profissionais oferecidos pelo VMware, Hyper-V, Parallels, VirtualBox, etc. O Sandbox do Windows 10 era conveniente, mas não tinha recursos suficientes, estava constantemente corrompido por razões que não conheço e não rodava se eu não reiniciasse o sistema host. Se você tem interesse em analisar e-mails de phishing e não tiver experiência nisso, considere assistir meu webinar. Se você não sabe como é a prática forense em e-mails de phishing, não se arrisque. É muito fácil clicar acidentalmente em um link ou iniciar um JavaScript malicioso.

Por último, em caso de dúvida, acalme-se. Foram poucas as vezes no ano passado em que recebi e-mails realmente legítimos. Devido à natureza do meu trabalho por quase 30 anos, recebo dezenas de e-mails de desconhecidos todos os dias. Muitos deles são excessivamente familiares, escritos como se fôssemos amigos de longa data e me pedindo para clicar em um link para revisar algo. Muitas dessas mensagens são escritas por pessoas que usam o inglês como segunda língua, então as sentenças e frases geralmente se parecem com o que você veria em um e-mail de phishing real. Eu recebo uma quantidade suficiente para perceber que são provavelmente legítimos, e não quero ignorar e fazer com que pensem que estou oferecendo um mau serviço. Mas, às vezes, não importa o quanto eu tente: não sei ao certo, relato por meio de nosso botão PAB — e deixo os especialistas determinarem a legitimidade — ou excluo. Eu e minha organização não podemos correr o risco. Em caso de dúvida, não clique.

Estamos começando a observar ataques de phishing mais avançados em que passar o mouse sobre a URL não ajuda você a determinar a legitimidade ou não da mensagem. Você e seus colegas de trabalho devem sempre observar a totalidade da mensagem para avaliar sua legitimidade. Não confie apenas na URL. Todas as pessoas devem ser ensinadas a identificar os sinais de alerta comuns da engenharia social. Você também pode baixar e compartilhar por aí nosso PDF “Sinais de alerta da engenharia social”.

Não importa seu estilo de aprendizagem, todos devem entender como olhar para a totalidade de uma solicitação suspeita para determinar se é um ataque ou não. Aqui na KnowBe4, acreditamos no treinamento de conscientização em segurança.

Phish Alert Button (PAB) é gratuito!

Seus usuários sabem o que fazer quando recebem um phishing? O Phish Alert Button (PAB) da KnowBe4 oferece aos seus usuários uma maneira segura para encaminhar ameaças para a equipe de segurança e excluir o e-mail da caixa de entrada do usuário, evitando exposições futuras. Tudo com apenas um clique!
Para testar nossa ferramenta gratuita, clique aqui.


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*


Search