Detecção de phishing no Gmail: novos recursos

O crime cibernético e os ataques avançados patrocinados pelo Estado continuam aderindo ao e-mail como um veículo de distribuição primária para o malware de primeiro estágio. As campanhas de phishing prosperam em ataques direcionados e os criminosos ainda ressuscitaram os macro malwares em anexos para ganhar a base no computador da vítima. A segurança no Gmail foi reforçada recentemente.

O Google, ainda atrapalhado por uma enorme campanha de phishing centrada no Google Docs durante a primeira semana de maio, mostrou hoje uma lista com os novos recursos de segurança no Gmail.

Andy Wen, do grupo Google Counter Abuse Technology, disse que as novas atualizações se concentram principalmente na detecção precoce de mensagens de phishing e spam, que irão se beneficiar de um modelo dedicado de aprendizado de máquina.

O modelo, disse Wen, atrasará as mensagens (menos de 0,05% das mensagens) para aplicar o modelo e analisar os e-mails.

“A aprendizagem de máquinas ajuda o Gmail a bloquear as mensagens de spam e phishing que aparecem na sua caixa de entrada com mais de 99,9% de precisão”, disse Wen. “Isso é enorme, uma vez que de 50% a 70% das mensagens que o Gmail recebe são spam”.

O Google disse que seus modelos de detecção se integram à aprendizagem de máquina e oferecem suporte ao Safe Browsing (“navegação segura”), que é usado para alertar os usuários de URLs potencialmente mal-intencionadas no Chrome.

“Esses novos modelos combinam uma variedade de técnicas, como a análise de reputação e similaridade nas URLs, o que nos permite gerar novos avisos de URL para usuários de phishing e malwares”, disse Wen. “À medida que encontramos novos padrões, nossos modelos se adaptam mais rapidamente do que os sistemas manuais, além de melhorarem com o tempo”.

Os usuários do Enterprise Gmail também podem esperar por avisos ao responder mensagens fora do domínio da empresa como uma medida preventiva contra a perda potencial de dados. O Gmail será seletivo com tais avisos, por exemplo, ele entenderá no contexto se a resposta está indo para um contato regular, mesmo se estiver fora do domínio da empresa.

O Google também está introduzindo melhorias que digitalizam anexos para sinais de ransomware ou malware polimórfico (isto é, malware capaz de mudar sua forma a cada infecção).

“Nós classificamos novas ameaças combinando milhares de mensagens de spam, malware e ransomware com heurísticas de anexos (e-mails que podem ser ameaças baseadas em sinais) e assinaturas do remetente (já marcado como malware)”, disse Wen.

Esquema de phishing no Google Docs

No início deste mês, os atacantes aproveitaram a implementação do serviço OAuth2 do Google para fraudar 1 milhão de usuários do Gmail através de esquema de phishing no Google Docs. O Google disse que encerrou os ataques dentro de uma hora e que apenas 0,1% dos seus bilhões de usuários do Gmail foram afetados.

Os atacantes conseguiram usuários de phish através dos contatos do Gmail armazenados das vítimas. As mensagens alegaram que o remetente queria compartilhar um Google Doc e o botão “Abrir no Docs” no e-mail redirecionou a vítima para a tela de confirmação legítima do Google OAuth, que pediu à vítima que concedesse permissão para acessar o Gmail e Contatos.

Enquanto isso era principalmente um ataque que abusava da natureza aberta do OAuth e da facilidade com que compartilha permissões com terceiros, milhões de e-mails foram enviados em um período relativamente curto de tempo relacionado à fraude.

As melhorias de hoje no Gmail são apenas as mais recentes em uma série de atualizações já este ano. Em fevereiro, o Google adicionou a aplicação Security Key às suas aplicações G Suite e adicionou S/MIME ao Gmail, permitindo a criptografia de mensagens em trânsito.

Conferência RSA em São Francisco (EUA), com participação do Google

Na RSA Conference em San Francisco, o Google também disse que iria introduzir o SMTP Strict Transport Security para o Gmail este ano, trazendo o certificado para o serviço. O SMTP STS será um obstáculo importante para os ataques de man-in-the-middle que dependem de certificados desonestos que provavelmente são forjados, roubados ou de outra forma não confiável, disse o Google.


Publicado originalmente no ThreatPost em 31 de maio de 2017.

Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.

Autor: Michael Mimoso
Tradução por Tiago Souza

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Site Footer