Basicamente, sempre observamos campanhas de phishing tanto de páginas falsas quanto de e-mails falsos tentando obter alguma vantagem, tais como:

a) As credenciais dos seus colaboradores; ou

b) O pagamento de boletos por seus fornecedores.

Ou seja, temos dois grupos de vítimas, os seus colaboradores e os seus fornecedores.

Sendo assim, uma das recomendações de segurança que tenho debatido bastante é em relação ao monitoramento da criação desses domínios suspeitos e ao monitoramento da emissão de certificados para estes domínios.

Temos aqui duas oportunidades de observar o surgimento de uma possível campanha de phishing:

a) Através da criação do domínio, onde você poderá entender através dos atributos deste domínio e, principalmente, pelo nome escolhido se ele poderia ser utilizado contra você.

Imagine que você recebeu o alerta da criação de um domínio chamado suaempresa-colaboradores.io ou e ao avaliar os atributos, você teria informações mais suspeitas ainda. O que você faria? suaempresa-vpn.net

b) Através da emissão de um certificado, onde você recebeu um alerta de que um certificado SSL (para gerar o famoso https) foi gerado para um dos domínios citados anteriormente. E agora, o que fazer?

Em ambos os casos uma das sugestões que considero plausível é o bloqueio imediato desses domínios em suas ferramentas de defesa, tais como:

a) Firewall para bloquear o acesso à supostas páginas falsas.

b) Antispam para bloquear o recebimento de e-mails destes domínios.

c) Antivírus para bloquear possível comunicação de artefatos, principalmente de dispositivos fora da sua rede corporativa.

Também recomendo o compartilhamento dessa lista de domínios suspeitos diretamente com seus parceiros, uma vez que eles podem ser alvos de campanhas de phishing em nome da sua marca. Como, por exemplo, o e-mail de phishing para induzir o seu parceiro a pagar um boleto ou efetuar um Pix indevido.

Além disso, recomendo um hunting retroativo em seu ambiente para possíveis detecções passadas e a criação de alertas para que você saiba imediatamente caso algum colaborador tenha recebido um e-mail ou clicado em um link relacionado a esses domínios.

Ah, lembrando que existem diversas empresas que fazem esse tipo de monitoramento e alertam você em relação à criação de domínios ou emissão de certificados digitais que correspondem de alguma forma com a sua marca.

O interessante é que essas empresas podem te entregar isso de forma automatizada, rápida e contextualizada, inclusive via API ou algum outro método de integração com seus sistemas de defesa.

Seria muito produtivo, ter o monitoramento integrado com seu ambiente onde os domínios são automaticamente bloqueados e alertas são gerados se algum cliente clicou ou clicar em alguma URL que aponte para esses domínios ou bloquear no antispam todo e qualquer e-mail proveniente desses domínios.

Segue um exemplo de empresa que faz esse monitoramento e entrega de forma automatizada: https://www.tempest.com.br/gerenciamento/threat-intelligence/monitoramento/

Sabemos que é uma ameaça pertinente, que explora o lado humano através de engenharia social e que por mais que seja complexo as ações em torno desse cenário, é possível ter algo estruturado e automatizado através do apoio de empresas de Intel Services.

Bem pessoal, é isso por hoje, mesmo sabendo que fui simples e direto.

Se quiserem debater mais sobre o tema, estarei nos comentários.

Originally published at https://www.linkedin.com.