p Nesta era de ataques cibernéticos e violações de dados, a maioria dos usuários de e-mail está procurando, e compreender os riscos potenciais de, mensagens e anexos provenientes de fontes desconhecidas. p Contudo, que a vigilância por si só pode não ser suficiente para mantê-lo protegido, de acordo com uma nova pesquisa da Virginia Tech que examina a crescente sofisticação dos ataques de phishing.

p Junto com uma escrita mais inteligente, agora, hackers empreendedores podem falsificar o endereço de e-mail de um amigo confiável, colega de trabalho, ou negócios e enviar e-mails falsos às vítimas. Com a quantidade certa de engenharia social, é fácil obter informações cruciais e confidenciais de um destinatário desavisado com uma simples solicitação.

p "Esses tipos de ataques de phishing são especialmente perigosos, "disse Gang Wang, professor assistente de ciência da computação na Faculdade de Engenharia da Virginia Tech. "A tecnologia muda tão rapidamente, e agora um hacker pode obter suas informações facilmente. Esta informação pode ser usada para cometer ataques cibernéticos que vão desde ser ligeiramente irritantes, como ter que lidar com uma conta corrente que foi hackeada, a graves consequências de vida física e morte se houver informação, por exemplo, para o mainframe de um computador de um hospital. "

p Uma das áreas de pesquisa de Wang está atualmente focada em estudar como impedir esses ataques. Ele apresentará um artigo sobre suas descobertas recentes no 27º Simpósio Anual de Segurança USENIX em Baltimore, Maryland, em agosto.

p Ataques de phishing envolveram quase metade dos mais de 2, 000 violações de segurança confirmadas relatadas pela Verizon nos últimos dois anos. Essas violações causam vazamento de bilhões de registros e custam milhões de dólares para retificar, dependendo do setor afetado e sua localização geográfica.

p Spoofing, onde o invasor representa uma entidade confiável, é uma etapa crítica na execução de ataques de phishing. O sistema de e-mail de hoje não tem mecanismo para prevenir totalmente o spoofing.

p "O sistema SMTP que usamos hoje foi projetado sem a segurança em mente, "disse Wang." Isso é algo que tem atormentado o sistema desde o seu início. "

p Medidas de segurança foram postas em prática para proteger contra ataques de spoofing após o fato e contar com provedores de e-mail para implementar estratégias usando extensões SMTP, como SPF (estrutura de política do remetente), DKIM (DomainKeys Identified Mail), e DMARC (autenticação de mensagem baseada em domínio), para autenticar o remetente. As medições realizadas pela equipe de pesquisa em 2018 indicam que, entre os 1 milhão de domínios principais do Alexa, 45 por cento têm FPS, 5 por cento têm DMARC, e menos ainda estão configurados correta ou estritamente.

p Para o estudo, a metodologia das equipes de pesquisa foi centrada na configuração de experimentos de falsificação de ponta a ponta em provedores de e-mail populares que são usados ​​por bilhões de usuários. Eles fizeram isso configurando contas de usuário nos serviços de e-mail de destino como destinatários de e-mail e usando um servidor experimental para enviar e-mails falsos, com um endereço de remetente falso, para a conta do receptor.

p O endereço do remetente falsificado é a chave do estudo, pois é uma parte crítica do processo de autenticação. Se o domínio falsificado tiver um SPF válido, DKIM, ou registro DMARC, então o receptor, em teoria, é capaz de detectar falsificação.

p O spoofing pode ser feito usando contatos existentes ou o mesmo provedor de e-mail do destinatário pretendido.

p Para este fim, pesquisadores usaram cinco tipos diferentes de conteúdo de e-mail para o estudo:um e-mail em branco, um e-mail em branco com um URL benigno, um e-mail em branco com um anexo benigno, um e-mail benigno com conteúdo real, e um e-mail de phishing com conteúdo que representa o suporte técnico para notificar e retificar uma violação de segurança sendo direcionado a um URL.

p No total, o estudo usou 35 serviços de e-mail populares, como o Gmail, iCloud, e Outlook. Os pesquisadores descobriram que os provedores de e-mail tendem a favorecer a entrega de e-mail em vez da segurança. Quando um e-mail falha na autenticação, a maioria dos provedores de e-mail, incluindo Gmail e iCloud, ainda entregou o e-mail, desde que o protocolo do domínio falsificado não fosse para rejeitá-lo.

p Os pesquisadores também descobriram que apenas seis serviços de e-mail exibiram indicadores de segurança em e-mails falsos, incluindo Gmail, Protonmail, Naver, Mail.ru, 163.com, e 126.com. Apenas quatro serviços de e-mail exibem indicadores de segurança de maneira consistente em seus aplicativos de e-mail móvel. Fatores humanos ainda permanecem um elo fraco no processo de ponta a ponta, então, a equipe de pesquisa elaborou o estudo para entender os hábitos de e-mail dos usuários.

p No estudo de Wang, a taxa de cliques para pessoas que receberam o e-mail com um indicador de segurança foi de 17,9 por cento. Sem uma deixa de segurança, a taxa era de 26,1 por cento. Porque nem todos que receberam um e-mail de phishing abriram o e-mail, a equipe também calculou a taxa de cliques em todos os usuários que abriram o e-mail, resultando em taxas mais altas de 48,9% e 37,2%.

p As recomendações do estudo incluem a adoção do SPF, DKIM, e DMARC para autenticar e-mails, e se um e-mail for entregue em uma caixa de entrada, os provedores de e-mail devem colocar um indicador de segurança, como o ponto de interrogação vermelho do Google no e-mail, para alertar os usuários sobre os riscos potenciais.

p A equipe também recomendou consistência entre os provedores de e-mail para diferentes interfaces. Atualmente, os usuários móveis estão expostos a um nível mais alto de riscos devido à falta de indicadores de segurança. E finalmente, o estudo recomendou que elementos enganosos, como uma "foto de perfil" e um histórico de e-mail, "ser desativado em e-mails suspeitos.

p Com tantos e-mails sendo entregues diariamente, é surpreendente que não existam campanhas de phishing mais bem-sucedidas.

p "Na verdade, basta um e-mail para causar uma violação de segurança, "disse Wang.