Alex Feleol

Olá pessoal, tudo bem?

Trazendo para cá, um tema que tenho debatido bastante com demais colegas de Threat Intelligence.

Basicamente, sempre observamos campanhas de phishing tanto de páginas falsas quanto de e-mails falsos tentando obter alguma vantagem, tais como:

a) As credenciais dos seus colaboradores; ou

b) O pagamento de boletos por seus fornecedores.

Ou seja, temos dois grupos de vítimas, os seus colaboradores e os seus fornecedores.

Sendo assim, uma das recomendações de segurança que tenho debatido bastante é em relação ao monitoramento da criação desses domínios suspeitos e ao monitoramento da emissão de certificados para estes domínios.

Análise

Temos aqui duas oportunidades de observar o surgimento de uma possível campanha de phishing:

a) Através da criação do domínio, onde você poderá entender através dos atributos deste domínio e, principalmente, pelo nome escolhido se ele poderia ser utilizado contra você.

Imagine que você recebeu o alerta da criação de um domínio chamado suaempresa-colaboradores.io ou suaempresa-vpn.net e ao avaliar os atributos, você teria informações mais suspeitas ainda. O que você faria?

b) Através da emissão de um certificado, onde você recebeu um alerta de que um certificado SSL (para gerar o famoso https) foi gerado para um dos domínios citados anteriormente. E agora, o que fazer?

Ações

Em ambos os casos uma das sugestões que considero plausível é o bloqueio imediato desses domínios em suas ferramentas de defesa, tais como:

a) Firewall para bloquear o acesso à supostas páginas falsas.

b) Antispam para bloquear o recebimento de e-mails destes domínios.

c) Antivírus para bloquear possível comunicação de artefatos, principalmente de dispositivos fora da sua rede corporativa.

Também recomendo o compartilhamento dessa lista de domínios suspeitos diretamente com seus parceiros, uma vez que eles podem ser alvos de campanhas de phishing em nome da sua marca. Como, por exemplo, o e-mail de phishing para induzir o seu parceiro a pagar um boleto ou efetuar um Pix indevido.

Além disso, recomendo um hunting retroativo em seu ambiente para possíveis detecções passadas e a criação de alertas para que você saiba imediatamente caso algum colaborador tenha recebido um e-mail ou clicado em um link relacionado a esses domínios.

Automação

Ah, lembrando que existem diversas empresas que fazem esse tipo de monitoramento e alertam você em relação à criação de domínios ou emissão de certificados digitais que correspondem de alguma forma com a sua marca.

O interessante é que essas empresas podem te entregar isso de forma automatizada, rápida e contextualizada, inclusive via API ou algum outro método de integração com seus sistemas de defesa.

Seria muito produtivo, ter o monitoramento integrado com seu ambiente onde os domínios são automaticamente bloqueados e alertas são gerados se algum cliente clicou ou clicar em alguma URL que aponte para esses domínios ou bloquear no antispam todo e qualquer e-mail proveniente desses domínios.

Segue um exemplo de empresa que faz esse monitoramento e entrega de forma automatizada: https://www.tempest.com.br/gerenciamento/threat-intelligence/monitoramento/

Conclusão

Sabemos que é uma ameaça pertinente, que explora o lado humano através de engenharia social e que por mais que seja complexo as ações em torno desse cenário, é possível ter algo estruturado e automatizado através do apoio de empresas de Intel Services.

Bem pessoal, é isso por hoje, mesmo sabendo que fui simples e direto.

Se quiserem debater mais sobre o tema, estarei nos comentários.

Até a próxima!