Phishing Desmascarado: Os Perigos Ocultos dos Golpes por Email
Saiba como ataques de phishing exploram redes confiáveis pra roubar informações.
Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
― 9 min ler
Índice
- Por que o Phishing é um Problema
- O Lado Sombrio das Redes de E-mail
- Como os E-mails de Phishing São Enviados
- O Conjunto de Dados: Uma Análise Profunda
- O Poder dos Cabeçalhos de E-mail
- Quantos E-mails de Phishing Conseguem Passar?
- Paisagem em Mudança do Phishing
- Serviços de Filtragem de E-mail: Ajudam?
- Um Olhar Mais Atento à Infraestrutura dos Atacantes
- Identificando Campanhas de Phishing
- O Desafio da Autenticação de E-mail
- O Papel dos Serviços de Hospedagem
- Distribuição Geográfica dos E-mails de Phishing
- Estudos de Caso sobre o Comportamento do Phishing
- Novas Estratégias para Detecção de Phishing
- Resultados do Mundo Real da Nova Abordagem
- Conclusões e Principais Lições
- Fonte original
- Ligações de referência
Phishing é um tipo de golpe online onde os atacantes enviam e-mails fraudulentos pra enganar as pessoas a revelarem informações pessoais. É tipo um pescador jogando a linha pra pegar peixes, mas em vez disso, eles tão tentando pegar seus dados sensíveis. Esses e-mails geralmente parecem vir de fontes confiáveis e costumam ter links pra sites falsos que parecem legítimos.
Por que o Phishing é um Problema
Ataques de phishing são uma ameaça significativa pras organizações, custando bilhões de dólares. Eles podem interromper operações, roubar informações sensíveis e até ameaçar a segurança nacional. No mundo online de hoje, onde os e-mails são a forma principal de comunicação, é crucial ficar esperto com as táticas usadas pelos golpistas e como se proteger.
O Lado Sombrio das Redes de E-mail
Embora a gente pense em empresas respeitáveis como Microsoft e Amazon como lugares seguros pra enviar e receber e-mails, é surpreendente que uma grande quantidade de e-mails de phishing venha de seus servidores. Imagina descobrir que seu mercado local tá vendendo frutas podres—é chocante!
Os atacantes geralmente não enviam e-mails diretamente de servidores suspeitos. Eles preferem usar esses serviços famosos porque têm mais chances de passar pelos filtros. Então, mesmo que a maioria dos e-mails dessas empresas seja inofensiva, uma parte dos e-mails de phishing consegue entrar.
Como os E-mails de Phishing São Enviados
Cada e-mail passa por uma série de servidores antes de chegar ao destino—como um caminhão de entrega fazendo paradas pelo caminho. Cada servidor adiciona um registro da sua jornada nos cabeçalhos do e-mail, que têm informações sobre de onde o e-mail veio.
Quando um e-mail é enviado, ele passa por esses servidores, cada um acrescentando cabeçalhos "Recebido" pra mostrar o caminho do e-mail. Se um e-mail passa por muitos servidores antes de chegar até você, isso pode ser um sinal de alerta. Pense nisso como um pacote que faz paradas demais—pode ser suspeito!
O Conjunto de Dados: Uma Análise Profunda
Pra entender como os e-mails de phishing funcionam, pesquisadores analisaram um conjunto de dados enorme ao longo de um ano. Esse conjunto incluiu bilhões de e-mails e revelou que um número surpreendente de e-mails de phishing se origina de redes confiáveis. Mais de 800.000 e-mails de phishing foram rastreados, fornecendo insights valiosos sobre o comportamento dessas mensagens maliciosas.
O Poder dos Cabeçalhos de E-mail
Os cabeçalhos de e-mail são como as certidões de nascimento dos e-mails—eles contam a história de onde um e-mail veio e como chegou na sua caixa de entrada. Ao examinar esses cabeçalhos, os pesquisadores podem categorizar as redes que enviam e-mails de phishing.
Duas categorias principais surgiram:
- Redes com Baixa Concentração de Phishing: Essas são redes onde a maioria dos e-mails é legítima, mas uma pequena quantidade vem de tentativas de phishing.
- Redes com Alta Concentração de Phishing: Essas redes enviam principalmente e-mails de phishing, com poucos mensagens legítimas misturadas.
É como descobrir que alguns restaurantes servem apenas comida deliciosa, enquanto outros oferecem pratos que te fazem questionar suas escolhas de vida.
Quantos E-mails de Phishing Conseguem Passar?
As organizações costumam usar filtros, como listas de bloqueio, pra se proteger contra phishing. Essas listas são usadas pra bloquear remetentes maliciosos conhecidos, mas não são infalíveis. Na verdade, muitos e-mails de phishing ainda conseguem passar por essas barreiras. É como ter um segurança na porta da frente que às vezes cochila durante o turno—alguns golpistas ainda conseguem entrar!
Apesar de ter esses filtros, centenas de milhares de e-mails de phishing escapam da Detecção. Isso porque os golpistas estão sempre adaptando suas táticas. Endereços de e-mail e a propriedade dos servidores mudam tão rápido que listas estáticas rapidamente ficam desatualizadas.
Paisagem em Mudança do Phishing
A paisagem do phishing tá sempre mudando. Os atacantes costumam pular de uma rede pra outra pra evitar serem pegos, como um gato ladrão que troca de disfarce após cada golpe. Isso dificulta as defesas tradicionais de acompanharem as táticas em evolução dos golpistas.
Os pesquisadores queriam entender melhor esses comportamentos em mudança. Ao estudar as redes que entregam e-mails de phishing ao longo do tempo, descobriram que muitas redes só enviam e-mails de phishing em explosões curtas. Isso sugere que as medidas de segurança atuais podem não ser suficientes, e novos métodos mais dinâmicos são necessários pra combater o phishing.
Serviços de Filtragem de E-mail: Ajudam?
Algumas organizações usam serviços de filtragem de e-mail que podem detectar e bloquear tentativas de phishing antes que cheguem às caixas de entrada dos usuários. No entanto, esses filtros não pegam tudo. Em um estudo, 75% das organizações que usam serviços de filtragem de e-mail ainda eram vulneráveis a ataques de phishing. Isso é como ter uma tranca na porta da frente, mas deixar a janela bem aberta!
Um Olhar Mais Atento à Infraestrutura dos Atacantes
Embora os provedores de serviços de e-mail possam parecer confiáveis, às vezes eles hospedam serviços abusados por atacantes. Essas redes podem ser categorizadas com base em quanto phishing enviam e quão estáveis são ao longo do tempo.
Algumas redes respeitáveis, como Amazon e Microsoft, estão surpreendentemente envolvidas no phishing, apesar de serem conhecidas por seus serviços legítimos. Os atacantes podem usar essas plataformas pra enviar e-mails de phishing porque sabem que têm menos chances de serem marcados pelos filtros de segurança.
Identificando Campanhas de Phishing
Nem todos os e-mails de phishing são iguais. Os pesquisadores categorizam os e-mails de phishing em campanhas com base no remetente e na linha de assunto. Ao analisar várias campanhas, eles conseguem ver tendências e identificar quais táticas são mais eficazes pros atacantes.
Os dados revelaram que um pequeno número de campanhas contribui para uma quantidade significativa de e-mails de phishing. Isso significa que, embora haja milhares de atacantes, poucos são responsáveis pela maioria dos e-mails fraudulentos que circulam na internet. É um pouco como um jogo de Whac-A-Mole—não importa quantos você acerte, alguns vão continuar aparecendo!
O Desafio da Autenticação de E-mail
Existem vários protocolos pra autenticar remetentes de e-mail e combater a falsificação. Esses incluem SPF, DKIM e DMARC. No entanto, muitos e-mails ainda conseguem passar mesmo após falharem nesses testes. O problema é que esses métodos de autenticação não são infalíveis, frequentemente mal configurados ou aplicados de maneira inconsistente.
Na realidade, menos da metade dos e-mails limpos passam com sucesso pela validação do DMARC. Essa baixa taxa de sucesso enfatiza os desafios que as organizações enfrentam pra combater o phishing apenas com autenticação.
O Papel dos Serviços de Hospedagem
Um número significativo de e-mails de phishing vem de serviços de hospedagem em nuvem reconhecidos. Isso faz sentido, já que muitos atacantes exploram essas plataformas pra enviar e-mails sem levantar suspeitas. As organizações precisam descobrir quais passos podem ser tomados pra identificar os maus elementos que usam esses serviços—como um segurança que às vezes deixa entrar personagens suspeitos sem perceber.
Distribuição Geográfica dos E-mails de Phishing
Quando os pesquisadores analisaram de onde os e-mails de phishing se originavam, descobriram que frequentemente vinham de países conhecidos por seus serviços online. Países como os EUA e o Reino Unido apareciam com frequência como fontes de e-mails limpos e de phishing.
Curiosamente, e-mails de phishing muitas vezes viajavam por mais países do que e-mails legítimos. O caminho que um e-mail faz pode dizer muito sobre sua credibilidade. Se ele pula por países como um viajante do mundo, pode estar escondendo algo.
Estudos de Caso sobre o Comportamento do Phishing
Pra ilustrar o comportamento do phishing, os pesquisadores analisaram redes específicas conhecidas por altas ou baixas concentrações de e-mails de phishing. Por exemplo, alguns IPs de provedores bem conhecidos, como Amazon e Microsoft, eram responsáveis por um número surpreendente de tentativas de phishing. Em algumas situações, eles descobriram que esses e-mails eram enviados usando contas comprometidas.
Outras redes demonstraram comportamentos explosivos, enviando um grande volume de e-mails de phishing em curtas rajadas e depois desaparecendo. Isso destaca a necessidade de medidas adaptativas que possam responder a tais mudanças súbitas nos padrões de tráfego de e-mail.
Novas Estratégias para Detecção de Phishing
Com todo esse conhecimento sobre redes de phishing e seus comportamentos, os pesquisadores colaboraram com empresas de segurança de e-mail pra desenvolver um novo classificador. Essa ferramenta visa se adaptar à paisagem sempre em mudança dos ataques de phishing.
Em vez de depender apenas de listas estáticas, o novo sistema atualiza constantemente seu entendimento sobre quais redes estão entregando e-mails de phishing. Ao empregar uma janela deslizante pra monitorar o tráfego de e-mail, ele pode melhorar as taxas de detecção e identificar ataques de phishing previamente indetectados.
Resultados do Mundo Real da Nova Abordagem
Quando o novo método de detecção foi testado, ele conseguiu identificar de 3 a 5% mais e-mails de phishing do que os métodos anteriores. Isso significa que ter um sistema que reconhece padrões em mudança pode levar a uma melhor proteção contra golpes de phishing, o que é música para os ouvidos de todo mundo!
Conclusões e Principais Lições
Resumindo, o phishing continua sendo uma ameaça significativa, com um número surpreendente de ataques surgindo de redes confiáveis. Muitos e-mails de phishing conseguem passar pelas defesas tradicionais, e os atacantes continuam adaptando suas táticas pra ficar um passo à frente.
Ao avaliar como os e-mails são entregues e criar métodos de detecção adaptáveis, as organizações podem fortalecer suas defesas contra ataques de phishing. Então, da próxima vez que você ver um e-mail pedindo suas informações pessoais, pare um momento pra pensar—isso pode ser uma tentativa de phishing disfarçada? Melhor prevenir do que remediar!
Título: Characterizing the Networks Sending Enterprise Phishing Emails
Resumo: Phishing attacks on enterprise employees present one of the most costly and potent threats to organizations. We explore an understudied facet of enterprise phishing attacks: the email relay infrastructure behind successfully delivered phishing emails. We draw on a dataset spanning one year across thousands of enterprises, billions of emails, and over 800,000 delivered phishing attacks. Our work sheds light on the network origins of phishing emails received by real-world enterprises, differences in email traffic we observe from networks sending phishing emails, and how these characteristics change over time. Surprisingly, we find that over one-third of the phishing email in our dataset originates from highly reputable networks, including Amazon and Microsoft. Their total volume of phishing email is consistently high across multiple months in our dataset, even though the overwhelming majority of email sent by these networks is benign. In contrast, we observe that a large portion of phishing emails originate from networks where the vast majority of emails they send are phishing, but their email traffic is not consistent over time. Taken together, our results explain why no singular defense strategy, such as static blocklists (which are commonly used in email security filters deployed by organizations in our dataset), is effective at blocking enterprise phishing. Based on our offline analysis, we partnered with a large email security company to deploy a classifier that uses dynamically updated network-based features. In a production environment over a period of 4.5 months, our new detector was able to identify 3-5% more enterprise email attacks that were previously undetected by the company's existing classifiers.
Autores: Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
Última atualização: 2024-12-16 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2412.12403
Fonte PDF: https://arxiv.org/pdf/2412.12403
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.