O spam de e-mail tornou-se a forma predominante de phishing e propagação de malware há muito tempo. Entre eles, o roubo de credenciais continua sendo o tipo mais comum – embora não seja o mais lucrativo. Hoje em dia, esses ataques obtiveram outro alvo – comprometer contas comerciais. Mas como eles funcionam? E como se proteger contra roubo de credenciais? Vamos ver isso um por um.
O que é roubo de credenciais?
O roubo de credenciais diz principalmente por si, mas no contexto de spam por e-mail, as coisas não são tão simples. Sendo a subcategoria de phishing, roubo de credenciais supõe o uso de um site falsificado que contém um formulário de login. Além de repetir o design de um formulário de login, hackers tentam criar uma mensagem convincente que obrigue a vítima a seguir o link. A justificativa para isso pode ser diferente. Essa mensagem pode solicitar que você participe da reunião on-line ou envie as datas das férias – eles tentam parecer naturalmente. Assim que a vítima digitar suas credenciais no formulário e pressionar o botão de login, hackers recebem todos os dados. Ainda, é tão fácil quanto você pode imaginar.
O único vetor específico de roubo de credenciais que se tornou excepcionalmente popular no ano passado são os e-mails comerciais.. Como você pode imaginar, comprometer e-mail pessoal não é tão lucrativo, mesmo que ainda seja predominante entre ataques de roubo de credenciais. Roubando e-mails ou contas comerciais, hackers abrem novo, vetores de ataque mais eficazes, such as spear phishing e caça às baleias. Apesar disso, contas comerciais comprometidas raramente são usadas pelos mesmos criminosos que realizam roubo de credenciais. Em vez de, tais dados é vendido na Darknet em um banco de dados das mesmas contas comprometidas por uma quantia considerável.
Métodos modernos de roubo de credenciais
Personalizando os e-mails para se adequarem à agenda atual, atrair o usuário para seguir o link – todas essas coisas não mudaram muito desde o início do uso de spam por e-mail para roubo de credenciais. Mas isso não é uma história sobre como os hackers extrair as credenciais do formulário de login falsificado. Mencionei que extrair os dados não envolve apenas “clique no botão – envie os créditos”. Na verdade, as coisas tiveram uma reviravolta inesperada.
Maneira popular de enviar os dados do passado para o servidor – um arquivo PHP formado no site – é muito fácil de bloquear. A maioria dos aplicativos de segurança de rede agora bloqueia essa forma de envio de dados, pois é considerado inseguro mesmo quando não há suspeita de intenções maliciosas. Abordagem mais novata - através do uso da API do Telegram Messenger – é muito fácil de bloquear. Para evitar possíveis bloqueios de soluções avançadas de segurança, hackers começaram a usar uma API de um serviço de e-mail legítimo EmailJS.
A API do EmailJS permite o envio automatizado de e-mail, usando apenas as credenciais e o código do lado do cliente. É bastante conveniente para distribuir e-mails com modelos predefinidos. No entanto, alguns hackers implementei a API para enviar o email com dados do formulário de login do site comprometido diretamente para o e-mail. Como o serviço é reconhecido como legítimo, e é usado com bastante frequência, bloquear não é uma opção. No entanto, enquanto isso, hackers continuam recebendo credenciais de e-mail sem nenhuma falha.
Perigos do roubo de credenciais
Obviamente, compartilhar o acesso à conta de e-mail com terceiros é uma situação muito ruim. As coisas ficam ainda piores quando falamos sobre e-mails comerciais comprometidos – e eles são direcionados com frequência, como já mencionei. Depending on the type de conta comprometida, a aplicação pode ser diferente, embora os instrumentos que os hackers aplicam para usar contas comprometidas sejam os mesmos na maioria dos casos.
Contas de usuários domésticos ou funcionários comuns são, eventualmente, o menos valioso. Hackers podem usá-los para espalhar spam aleatório. A eficiência desse tipo de correspondência ainda pode ser um pouco maior do que durante o uso aleatório da conta – só porque esses caras’ colegas e parentes podem morder a isca pensando que a mensagem é legítima.
Contas de funcionários de alto nível, celebridades locais ou mesmo altos executivos são de maior valor. Essas contas às vezes são negociadas sozinhas, com o preço de centenas de dólares. E esses preços são justificados, já que o disfarce das pessoas mencionadas pode trazer aos hackers muito mais dinheiro em troca. Nesse caso, more sophisticated email messages are sent, muitas vezes personalizado para o tópico que o destinatário pode esperar do remetente.
Métodos de prevenção contra roubo de credenciais
Bem, a questão de prevenir o roubo de credenciais e fornecer proteção adequada contra ele existe há muito tempo. Por essa razão, Não repetirei conselhos triviais como “alterar senhas” ou “não seguir links de phishing”. Em vez de, Tentarei dar dicas menos populares, mas eficazes.
Inscreva-se usando ferramentas de proteção de e-mail. Existem muitos deles, embora essas soluções sejam distribuídas como complementos de um software antimalware independente. Essas ferramentas monitoram todos os elementos anexados, links e arquivos, para detectar se eles contêm alguma coisa maliciosa. O problema aqui é que tais complementos estão disponíveis principalmente para soluções de segurança corporativa.
Outra abordagem para diminuir a probabilidade de phishing bem-sucedido é usando ferramentas de segurança de rede. Particularmente, As soluções NDR podem detectar e eliminar com eficácia o tráfego potencialmente perigoso. Aqueles que aplicam confiança zero e lidarão efetivamente com o uso indevido da API mencionada são preferidos. Geral, NDRs são recomendados para implementação em grandes redes, pois pode ser problemático controlá-lo com ferramentas menos avançadas.
Para usuários únicos: use programas antimalware com um filtro de rede avançado. Detectar páginas de phishing como aquelas usadas em roubo de credenciais pode não ser fácil manualmente, então é melhor entregá-lo a um software de segurança especializado. GridinSoft Anti-Malware may offer you such functionality – seu filtro de rede é atualizado a cada hora, então não perderá nenhum site maligno.
