Ramsdata

logo.png

Como o Barracuda detecta e bloqueia ataques BEC (Business Email Compromise)

O Business Email Compromise (BEC) é um dos tipos de cibercrime mais dispendiosos do mundo atual. O FBI IC3 estima que as perdas globais resultantes de ataques de BEC excederam os 2,9 mil milhões de dólares em 2023, e isto apenas com os incidentes registados. O que torna o BEC tão perigoso? Estes ataques contornam os filtros de spam tradicionais porque não contêm links ou anexos maliciosos – são e-mails construídos com precisão que parecem correspondência legítima de uma pessoa de confiança. O Barracuda oferece mecanismos especializados de deteção de BEC que resolvem este problema onde as defesas clássicas falham.

Índice

  1. O que é um ataque BEC e porque é tão difícil de detetar?
  2. Como é que é um ataque BEC típico?
  3. Porque é que os filtros de spam tradicionais não detectam o BEC?
  4. Como é que o Barracuda detecta ataques BEC?
  5. Proteção contra a aquisição de contas
  6. Inteligência artificial e análise comportamental de correio eletrónico
  7. Principais conclusões
  8. FAQ
  9. Resumo

O que é um ataque BEC e porque é tão difícil de detetar?

O Business Email Compromise é uma categoria de ataques em que um cibercriminoso se faz passar por uma pessoa de confiança – na maioria das vezes um CEO, CFO, advogado da empresa ou fornecedor de confiança – para levar um funcionário a efetuar uma transferência bancária, divulgar informações confidenciais ou realizar alguma outra ação financeira/informacional.

A dificuldade de detetar a BEC deve-se a vários factores. Em primeiro lugar, os ataques BEC são altamente direcionados e personalizados – os criminosos estudam a organização, aprendendo sobre a sua estrutura, estilo de comunicação da gestão e projectos em curso antes de atacar. A mensagem é escrita de forma a parecer a correspondência natural de uma pessoa específica, em vez de um phishing genérico. Em segundo lugar, as mensagens BEC geralmente não contêm links ou anexos maliciosos – é apenas texto, deixando os filtros de assinatura de malware e a verificação de URL sem nada para “apanhar”. Em terceiro lugar, as mensagens são frequentemente enviadas a partir de domínios ligeiramente modificados (domínios semelhantes) ou através de contas de empregados sequestradas, tornando-as credíveis para o destinatário.

Como é que é um ataque BEC típico?

Um ataque típico de BEC processa-se em várias fases. A fase de reconhecimento: o criminoso examina o LinkedIn, o sítio Web da empresa, as redes sociais, os documentos públicos – recolhendo informações sobre a estrutura da organização, quem é o diretor financeiro, quem é responsável pelas transferências, quais são os projectos e encomendas em curso.

Fase de preparação: registar um domínio semelhante (por exemplo, empresa-facturas.com em vez de empresa.com), ou apoderar-se da conta de correio eletrónico de um empregado através de phishing, keylogger ou ataque de força bruta a uma palavra-passe fraca.

Fase de ataque: envio de uma mensagem fingindo ser o CEO ou um fornecedor com um pedido urgente de transferência “fora do procedimento normal” (porque temos uma auditoria, porque a transação é confidencial, porque temos de agir rapidamente). A pressão do tempo e a autoridade são elementos-chave da engenharia social do BEC.

Fase de execução: o empregado faz a transferência – e, normalmente, a descoberta da confusão vem alguns dias depois, quando a pessoa real pergunta sobre uma encomenda que não fez.

Porque é que os filtros de spam tradicionais não detectam o BEC?

Os filtros de spam clássicos funcionam com base em assinaturas – padrões conhecidos de URLs maliciosos, hashes de ficheiros maliciosos, listas de reputação de endereços IP de remetentes de spam. O BEC não utiliza nenhum destes elementos: a mensagem vem de um endereço malicioso desconhecido mas não marcado, não contém ligações ou anexos e o seu conteúdo é o único indicador de malícia.

SPF, DKIM e DMARC – mecanismos de autenticação de correio eletrónico padrão – protegem contra a personificação do domínio da empresa por remetentes externos, mas não ajudam quando o ataque provém de um domínio semelhante (um domínio diferente, mas com um aspeto semelhante) ou quando a conta de um funcionário foi tomada de assalto.

Como é que o Barracuda detecta ataques BEC?

O Barracuda Email Protection oferece um mecanismo de deteção de BEC em várias camadas baseado em inteligência artificial e análise comportamental. Um componente chave é o Barracuda Sentinel, um motor de IA que aprende os padrões de comunicação normais de uma organização.

O Sentinel analisa centenas de milhares de e-mails numa organização, construindo modelos comportamentais para cada funcionário: com quem se costuma corresponder, a que horas, com que estilo e a partir de que dispositivos. Quando aparece uma mensagem que se desvia destes padrões – mesmo que venha de um endereço válido – o sistema gera um alerta ou bloqueia a mensagem.

A deteção de domínios semelhantes é outra camada – o Barracuda compara o domínio do remetente com os de parceiros de confiança e da organização interna, identificando domínios semelhantes mas diferentes (por exemplo, barracuda.com vs. barracuda-support.com). A inspeção de cabeçalhos detecta discrepâncias entre ‘From’ (o remetente apresentado) e ‘Reply-To’ (o endereço de resposta real) – um truque clássico de BEC.

A integração com soluções de segurança Web cria uma proteção multi-camadas contra ataques de engenharia social.

Proteção contra a aquisição de contas

Muitos ataques BEC usam contas de funcionários sequestradas, o que os torna extremamente difíceis de detetar porque a mensagem vem de uma conta legítima da empresa. O Barracuda Sentinel detecta contas sequestradas através da análise comportamental: inícios de sessão repentinos a partir de novas localizações geográficas, alteração do padrão de envio, envio de um grande número de mensagens para destinatários externos, modificação das regras de reencaminhamento de correio eletrónico.

Quando o sistema detecta uma conta potencialmente sequestrada, gera um alerta para o administrador e pode encerrar automaticamente a sessão e exigir uma nova autenticação do MFA. A análise retrospetiva também identifica as mensagens enviadas da conta durante um período em que esta pode ter sido controlada por um atacante.

Inteligência artificial e análise comportamental de correio eletrónico

O Barracuda Sentinel treina modelos de IA com base nos dados de comunicação reais da organização, e não em padrões genéricos de phishing. O que importa é a diferença: O CEO de uma empresa escreve de forma diferente do CEO de outra, corresponde-se com pessoas diferentes e em momentos diferentes. Um modelo “adaptado” a uma organização específica é muito mais eficaz do que regras gerais.

O motor analisa: o conteúdo da mensagem (estilo, vocabulário, comprimento da frase), o assunto da mensagem, a relação entre o remetente e o destinatário, a hora do envio, o padrão dos cabeçalhos, o histórico da correspondência entre pessoas específicas. O resultado da análise é uma avaliação de risco, com base na qual o sistema toma uma decisão: entrega, coloca em quarentena, bloqueia ou adiciona uma faixa de aviso ao destinatário.

Principais conclusões

  • O BEC é o tipo de cibercrime mais dispendioso, contornando os filtros tradicionais através da falta de ligações e anexos.
  • O Barracuda Sentinel detecta BEC através de IA e análise comportamental específica da organização, e não através de assinaturas genéricas.
  • A deteção de domínios semelhantes e a inspeção de cabeçalhos abordam as técnicas mais comuns de falsificação de BEC.
  • A proteção contra o sequestro de contas detecta anomalias comportamentais que indicam o comprometimento da conta.
  • Os modelos de IA treinados com base nas comunicações reais de uma organização têm um desempenho superior ao das regras genéricas.

FAQ

O Barracuda Email Protection funciona com o Microsoft 365 e o Google Workspace? Sim – o Barracuda integra-se nativamente com o Microsoft 365 e o Google Workspace através de APIs, complementando a proteção de e-mail nativa destas plataformas com deteção de BEC e análise comportamental avançada.

Quanto tempo leva para “ensinar” o modelo comportamental Sentinel? Normalmente, o Sentinel precisa de 2 a 4 semanas de histórico de comunicação para construir um modelo comportamental fiável. Durante este tempo, opera em modo de monitorização sem bloqueio.

O Barracuda pode notificar automaticamente os utilizadores de mensagens suspeitas? Sim – o Barracuda pode inserir automaticamente banners de aviso em mensagens suspeitas, informando o destinatário de que a mensagem provém de um endereço externo ou de que foram detectadas anomalias.

Como é que a Barracuda comunica incidentes de BEC à equipa de segurança? O Barracuda oferece um painel de controlo de incidentes com categorização de ameaças, histórico de incidentes e exportação para o SIEM. Os alertas podem ser enviados por correio eletrónico ou através de webhook para sistemas de bilhética.

Resumo

Os ataques BEC são precisos, personalizados e cada vez mais dispendiosos para as vítimas. A proteção de e-mail tradicional simplesmente não os detecta, porque funciona com base em assinaturas que o BEC não tem. O Barracuda Sentinel e a proteção de e-mail multi-camadas do Barracuda resolvem este problema através da IA e da análise comportamental adaptada às especificidades da organização. Contacta a Ramsdata para saberes como o Barracuda pode proteger a tua organização contra ataques de BEC e outras ameaças de e-mail.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: Content is protected !!