Contenha o phishing e elimine a infiltração e a comunicação criptografadas

Antigamente, os ataques de phishing e spearphishing só surgiam em épocas específicas do ano, como feriados importantes como Natal ou Ano Novo Chinês, feriados voltados ao consumidor como Dia dos Namorados ou Festival das Lanternas na China, ou em eventos de compras de consumidores como Black Friday ou Cyber Monday nos Estados Unidos, Boxing Day (26 ^de dezembro) no Reino Unido e Comunidade das Nações, ou Dia dos Solteiros (11 ^de novembro) na Ásia.

Os invasores então descobriram que poderiam aproveitar o FUD (medo, incerteza e dúvida) impulsionado por desastres naturais e provocados pelo homem, guerras, doenças, eleições ou qualquer evento que impulsione o ciclo de notícias de hoje para semear suas sementes maliciosas.

No Reino Unido, o Information Commissioner’s Office (ICO) indicou que o phishing foi a principal causa de violações relacionadas à segurança cibernética de abril de 2019 a março de 2020. O Gabinete do Comissário de Informação Australiano (OAIC) mostrou que o phishing foi responsável por 36% de todos os casos relatados a eles, o que está no topo da lista.

Por esse motivo, os ataques de phishing e spearphishing aumentaram drasticamente ao longo de 2020, motivados pela ameaça de uma pandemia mundial, países em quarentena ou bloqueio, trabalhadores que precisam trabalhar em casa e até mesmo eleições controversas nos EUA e em outros países. Até mesmo o anúncio de que as vacinas para combater a COVID-19 estão prontas está sendo aproveitado para induzir até mesmo pessoas cautelosas a abrir e-mails de fontes desconhecidas — ou mesmo de fontes conhecidas que podem ter tido suas contas violadas e sequestradas — para então espalhar malware e outros vetores de ataque maliciosos e roubar informações corporativas e de usuários ou permitir acesso ilícito a redes, nuvens, aplicativos e dados confidenciais.

Um dos motivos mais citados para a recente explosão de ataques de phishing foram as ordens de trabalho em casa precipitadas pela pandemia da COVID-19. Muitos funcionários, contratados e outros membros da equipe foram forçados a trabalhar em casa ou remotamente, o que rapidamente atraiu a atenção indesejada de invasores. Eles entenderam que há uma grande probabilidade de que as pessoas que trabalham remotamente fiquem sob maior pressão, baixem a guarda e comecem a clicar em links em praticamente qualquer e-mail, mesmo aqueles que normalmente levantariam suspeitas. Eles também sabem que aqueles que trabalham em casa podem estar usando produtos BYOD que não terão as ferramentas normalmente usadas pelas organizações para protegê-los de ataques como phishing. Os invasores e hackers também acreditam que os trabalhadores remotos podem não ter largura de banda suficiente para manter o software de segurança em execução ou atualizado e podem desativar ou perder atualizações do software de segurança. Muitas vezes, eles estão certos.

Phishing e Criptografia

À medida que os ataques de phishing aumentaram rapidamente, o número de sites de phishing que usam criptografia acompanhou o ritmo. De acordo com o recente Relatório de Phishing e Fraude 2020 do F5 Labs , quase 72% dos links de phishing enviam as vítimas para sites criptografados em HTTPS. Isso significa que a grande maioria dos sites maliciosos de phishing agora parecem ser sites válidos e confiáveis, capazes de enganar facilmente até o funcionário mais experiente. Esses dados foram corroborados por pesquisas de outros relatórios, incluindo um relatório da Venafi que descobriu domínios suspeitos semelhantes a varejistas que usam certificados válidos para fazer sites de phishing parecerem válidos, levando ao roubo de dados confidenciais de contas e pagamentos.

E não são apenas sites malignos que aproveitam a criptografia TLS para parecerem convincentes e legítimos. Também são destinos para os quais o malware, entregue por ataques de phishing, envia dados que ele rouba das vítimas e de suas organizações; esses destinos são chamados de drop zones. De acordo com o Relatório de Phishing e Fraude de 2020 do F5 Labs, todos — 100% — dos incidentes que envolveram zonas de lançamento investigados pelo Centro de Operações de Segurança (SOC) do F5 durante 2020 usaram criptografia TLS.

Não é fácil encontrar ameaças no tráfego criptografado

Há uma série de soluções disponíveis hoje para lidar com phishing de vários ângulos diferentes. Existem soluções para treinar a equipe sobre como reconhecer e lidar com ataques de phishing para reduzir a aceitação e a eficácia dos ataques. Essas soluções abordam a segurança de e-mail, protegendo contra spam, malware e anexos maliciosos, ataques BEC e muito mais. Existem serviços para gerenciar o e-mail de uma organização. Existem até mesmo ofertas que representam o tráfego da web de uma organização, replicam ou imitam e entregam código para dispositivos locais para serem renderizados ou que imitam a página da web, mas sem nenhum código suspeito e possivelmente malicioso subjacente.

Embora todas essas sejam ótimas soluções, ainda há o problema de lidar com o tráfego criptografado. Se o tráfego for criptografado, ele precisa ser descriptografado antes que possa ser verificado quanto a malware e outros códigos perigosos. Isso se aplica igualmente ao tráfego criptografado que entra na organização por meio de usuários que clicam em links maliciosos e propensos a malware em e-mails de phishing, baixam anexos carregados com código malicioso e acessam sites mal-intencionados que parecem reais e benignos porque têm o certificado de criptografia "certo", bem como tráfego criptografado que sai com dados roubados para uma zona de descarte criptografada ou que entra em contato com um servidor de comando e controle (C2) para obter mais instruções ou gatilhos para desencadear ainda mais ataques.

Além disso, isso nem leva em consideração que as regulamentações governamentais de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia (UE), a Lei de Privacidade do Consumidor da Califórnia (CCPA) ou muitas outras regulamentações sendo debatidas em países ao redor do mundo, geralmente incluem linguagem que impede a descriptografia de informações pessoais do usuário, como dados financeiros ou de saúde do usuário. Qualquer descriptografia de tráfego criptografado precisaria atender a esses mandatos de privacidade, ou poderia levar a litígios e multas substanciais para qualquer organização que infringisse essas regulamentações.

Mas espere, tem mais…

Dito isso, há ainda mais nos ataques de phishing atuais que usam criptografia, dos quais as organizações devem estar cientes. O Relatório de Phishing e Fraude 2020 do F5 Labs também descobriu que mais de 55% das drop zones usam uma porta SSL/TLS não padrão, enquanto mais de 98% dos sites de phishing usam portas padrão, como a porta 80 para tráfego HTTP de texto simples e a porta 443 para tráfego criptografado. Isso significa que, principalmente para tráfego criptografado de saída, confiar na varredura de portas padrão não é suficiente. As soluções implantadas precisam escanear e descriptografar o tráfego de saída em portas não padrão. Isso é fundamental para impedir a ofuscação e a exfiltração de dados críticos.

Hoje, para deter ameaças criptografadas transmitidas por ataques de phishing, as organizações precisam inspecionar todo o tráfego SSL/TLS de entrada para garantir que qualquer tráfego da web malicioso ou possivelmente iniciado por phishing seja interrompido e eliminado. Mas essa inspeção deve incluir a capacidade de ignorar de forma inteligente o tráfego criptografado que contém informações confidenciais do usuário, como informações financeiras ou relacionadas à saúde. Além disso, as organizações de hoje precisam bloquear completamente ou pelo menos monitorar portas de saída da web não padronizadas para impedir que malware faça comunicações criptografadas com servidores C2 e drop zone, para impedir a exfiltração de dados ou gatilhos de ataque. Há também outros fatores importantes a serem considerados, como o tipo de criptografia suportado pelos dispositivos na pilha de segurança. Por exemplo, se um invasor sabe que um determinado dispositivo de segurança não é capaz de suportar sigilo de encaminhamento (também conhecido como sigilo de encaminhamento perfeito ou PFS), ele pode aproveitá-lo para que o tráfego criptografado seja simplesmente passado pelo dispositivo de segurança. Essa ação é especialmente custosa e perigosa em ambientes onde os dispositivos de segurança na pilha são conectados em cadeia. Se o único dispositivo que não suporta PFS ignorar o tráfego, ele será ignorado pelo resto da cadeia.

Sem essas proteções, além do treinamento de conscientização sobre segurança e soluções de segurança de e-mail ou antiphishing implementadas, as organizações estão se expondo a ataques e violações, além do roubo de dados corporativos e de usuários essenciais.

Para obter informações sobre como o F5 SSL Orchestrator pode eliminar o ponto cego de segurança fornecido com tráfego criptografado e como ele pode eliminar a ofuscação de dados críticos que estão sendo exfiltrados e roubados, clique aqui .