OPSWAT Proactive DLP A funcionalidade principal do Data Loss Prevention (Prevenção de perda de dados) consiste em detetar e proteger dados sensíveis e confidenciais contra violações. Com algumas alterações na configuração, pode também tirar partido da tecnologia OCR (Reconhecimento Ótico de Caracteres) integrada em Proactive DLP para ajudar a detetar conteúdos de phishing em imagens.
O que é o phishing?
O phishing é um cibercrime em que os agentes de ameaças se fazem passar por uma pessoa ou organização legítima para "atrair" as vítimas susceptíveis a tomar uma ação (por exemplo, clicar numa ligação, instalar um anexo malicioso ou conceder aos agentes de ameaças acesso ao seu computador ou à rede da sua organização) para roubar informações sensíveis.
O correio eletrónico é o canal mais comum para o phishing. Os cibercriminosos enviam mensagens fraudulentas com uma linguagem sedutora para ganhar a confiança do destinatário e, eventualmente, levá-lo a realizar acções prejudiciais.
Phishing utilizando macros no Microsoft Office
A macro é um dos vectores de ataque mais populares que os agentes de ameaças utilizam. Discutimos como os cibercriminosos exploram a Macro do Excel 4.0 para armazenar malware oculto neste blogue.
A cadeia de ataque começa normalmente com uma mensagem de correio eletrónico. Em primeiro lugar, o atacante envia uma mensagem de correio eletrónico enganosa que se faz passar por uma fonte respeitável. Esta mensagem contém geralmente um documento anexo com uma macro maliciosa incorporada. Assim que a vítima abre e ativa a macro, ativa imediatamente o descarregamento do malware e permite o início do processo de infeção.
Quando descarrega um ficheiro de documento Word (.doc) da Internet, este abre-se automaticamente na Vista Protegida. Este modo isola o conteúdo não fiável da Web para limitar a possibilidade de abrir inadvertidamente malware, spyware ou qualquer código potencialmente prejudicial.
A Vista Protegida permite-lhe ler o ficheiro sem executar qualquer potencial malware oculto. Se estiver confiante de que o ficheiro é seguro e quiser fazer alterações, pode clicar em "Ativar edição". Se o ficheiro contiver macros, haverá outra porta de segurança. O Microsoft Office pedir-lhe-á para permitir ou não permitir o conteúdo interno através do botão "Ativar conteúdo".
Por um lado, os autores das ameaças criaram tecnologias de exploração de macros que podem contornar as defesas de segurança, incluindo código ofuscado, "stomping" ou ficheiros protegidos por palavra-passe. Por outro lado, tiveram de aumentar a credulidade dos seus alvos, fazendo com que parecesse essencial clicar em "Ativar edição" e "Ativar conteúdo". Mensagens como "Por favor, active a edição e o conteúdo para ver este documento" podem cumprir com sucesso este estratagema.
Esta tática de engenharia social é simples mas eficaz para a distribuição de malware e de cargas úteis, de tal forma que foi o método avançado de evasão de malware para o VBA stomping ou a distribuição primária do Emotet, o malware mais perigoso do mundo.
Utilizar o reconhecimento ótico de caracteres para detetar imagens de phishing
OPSWAT Proactive DLP suporta OCR (Reconhecimento Ótico de Caracteres), que pode ajudar a bloquear documentos de phishing. A tecnologia combina OCR com expressões regulares (RegEx) e palavras-chave para detetar palavras-chave de phishing em imagens.
O OCR é uma tecnologia predominante utilizada para reconhecer texto em imagens. Examina e extrai dados de textos manuscritos ou impressos, quer seja de um documento digitalizado ou de uma imagem, e depois converte o texto num formato legível por máquina que pode ser utilizado posteriormente para processamento de dados. Quanto mais avançado for o sistema de OCR, maior é a precisão de reconhecimento que proporciona.
Aqui está um exemplo da configuração Proactive DLP em OPSWAT MetaDefender Core . Na secção "Check for Regular Expressions", pode utilizar o campo "RegEx" para introduzir potenciais palavras-chave de phishing e adicionar quaisquer outras palavras-chave relevantes (por exemplo, "decrypt", "protected") no campo "Keywords" para reduzir os falsos positivos.
Se o ficheiro contiver palavras-chave de phishing, será bloqueado. Abaixo está o resultado do teste:
OPSWAT Proactive DLP
OPSWAT Proactive DLP detecta e redige automaticamente dados sensíveis e confidenciais em ficheiros e mensagens de correio eletrónico, incluindo números de cartões de crédito, números da segurança social, endereços IPv4, CIDR (Classless Inter-Domain Routing) ou quaisquer expressões regulares personalizadas. Com a integração do OCR, o Proactive DLP também ajuda a bloquear documentos de phishing e a sinalizar informações pessoalmente identificáveis (PII) em imagens e ficheiros PDF não pesquisáveis.
A nossa tecnologia também ajuda a cumprir os regulamentos de proteção de dados e os requisitos de segurança padrão da indústria, tais como PCI, HIPAA, Gramm-Leach-Bliley, FINRA e muito mais. Proactive DLP é uma tecnologia chave em muitos produtos OPSWAT : MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk, e MetaDefender Managed File Transfer.
Para saber mais sobre Proactive DLP e como OPSWAT pode proteger a sua organização,contacteum dos nossos especialistas em cibersegurança de infra-estruturas críticas.
