Há duas semanas, publiquei no blog do Studio Estratégia o artigo “Proteção contra golpes por e-mail phishing pode ser seu diferencial competitivo”, desde então, foram muitas as mensagens que recebi com o questionamento se a simples contratação do Office 365 fornece garantia contra ataques de e-mail phishing.

Logo após sair minha publicação, a jornalista Fabiana Sampaio Rolfini, editora do Olhar Digital, publicou o artigo “Cibercrime: ataques no Brasil aumentam mais de 300% com a pandemia”. Este veio a confirmar que, com a pandemia do COVID-19, as companhias se concentraram em garantir a continuidade do negócio, deixando a segurança das informações em segundo plano.

Foi então que, tendo em vista o enorme crescimento da quantidade de ciberataques e das dúvidas dos leitores sobre o tema, resolvi escrever este novo artigo, com o apoio do especialista Clayton Silva, sócio da ManagerOne, respondendo as cinco principais dúvidas que chegaram até nós, envolvendo o assunto Office 365 e ataques de e-mail phishing.

1. Estou protegido de ataques de e-mail phishing ao contratar o Office 365?

É fato claro para especialistas de Segurança da Informação, que para estar vulnerável a qualquer tipo de ciberataque, basta imaginar que não está.

A explicação para afirmação acima é simples. Se você acha que está vulnerável, provavelmente fará algo a respeito. Mas quando você acredita que está protegido, mesmo não estando, este passa a ser o seu ponto fraco.

É justamente este o problema que os usuários do Office 365 estão enfrentando no momento. Por acreditarem que não estão vulneráveis, mesmo estando, passam a ser um alvo fácil para cibercriminosos.

A adoção do Office 365 pode ser o primeiro grande passo para se alcançar a segurança necessária para utilização de e-mail corporativo. Porém, outros passos são igualmente fundamentais para completar o ciclo de proteção 360º.

O ciclo de proteção do seu e-mail corporativo passa pelos e-mails de saída e entrada.

Caso você utilize um domínio personalizado, seudominio.com por exemplo, ou se estiver usando servidores do Exchange em seu servidor local, você precisará implementar manualmente a proteção para os seus e-mails de saída, pois o Office 365 não fará isso de forma automática.

Portanto, o simples fato de contratar o Office 365 não garante a proteção contra ataques de e-mail phishing.

2. A segurança de e-mail protege contra uma ameaça e está vulnerável contra outras?

Para os e-mails que você recebe de terceiros (e-mails de entrada), o Office 365 possui o ATP (Advanced Threat Protection), que é um complemento de segurança que supostamente protege os usuários de ataques de e-mail phishing.

A Microsoft, proprietária do Office 365, cobra um custo extra na contratação do ATP, fazendo com que clientes do Office 365 tenham como premissa estar protegidos.

Infelizmente, o fato que é pouco divulgado é que o ATP falha em média 23% do tempo. Portanto, quase 1 em cada 4 e-mails maliciosos passa pelas defesas do ATP.

Precisaríamos entender qual o apetite ao risco de cada organização, mas é preciso atentar que só é necessário que um destes e-mails criminosos alcance o seu objetivo para acarretar em danos.

Ter apenas o ATP como proteção dos e-mails de entrada pode ser, ainda mais grave, se considerarmos que o tempo para detectar a falha é de 24 a 48 horas.

Segundo Clayton Silva, “o aumento do uso da automação permite que os invasores criem muitas “mutações” para cada malware ou arquivo malicioso, potencialmente inundando os produtos de segurança de e-mail com novas ameaças desconhecidas”.

3. Implementando uma solução para e-mails de saída do Office 365

A autenticação de mensagens baseada em domínio, relatórios e a Conformidade, Domain-based Messaging, Authentication and Reporting Conformance (DMARC), funciona com o SPF (estrutura de políticas de remetente) e com o Domain Keys Identified Mail (DKIM) para autenticar remetentes de e-mail e garantir que as mensagens confiáveis de sistemas de e-mail de destino sejam enviadas de seu domínio.

Como explicado no meu artigo anterior, implementar o DMARC com SPF e DKIM proporciona proteção contra e-mail phishing, pois o DMARC ajuda os sistemas de recepção de e-mail a determinarem o que fazer com as mensagens enviadas a partir do seu domínio e que falharam em verificações de SPF ou de DKIM.

Se você usa o Office 365, mas não está usando um domínio personalizado, ou seja, você usa o onmicrosoft.com, não é preciso fazer mais nada para configurar ou implementar o DMARC para a sua organização. Neste caso, o SPF já está configurado, e o Office 365 gera automaticamente uma assinatura do DKIM para o seu e-mail de saída.

Porém, se você tiver um domínio personalizado, você precisará implementar manualmente o DMARC para os seus e-mails de saída.

Para implementar o DMARC no seu domínio personalizado, são necessárias algumas etapas:

A Etapa 1, onde é feito todo o processo de análise das fontes de saída de e-mail, é um processo complexo e que não é oferecido pelo Office 365.

Todos os relatórios de DMARC, que são arquivos XML, são enviados para uma caixa de e-mail definido no TXT na criação do registro de DMARC. Você irá receber centenas ou milhares de arquivos diariamente e muitas vezes irá descartar estes relatórios por não saber interpretar corretamente.

Para bloquear o envio de e-mails falsos do seu domínio e detectar ameaças de e-mail de entrada, existem soluções de mercado, que possuem os recursos anti-falsificação e anti-phishing integrados com o Office 365.

4. Como verificar se estou protegido com relação a estes temas?

A Microsoft Intelligent Security Association (MISA) é um ecossistema de fornecedores independentes de software que integraram suas soluções para se defender melhor contra um mundo de ameaças crescentes.

Como especialista em Segurança da Informação, através de uma parceria com um dos membros da MISA, ofereço para todos os clientes do Office 365 a proteção necessária para garantir o bloqueio contra ataques de phishing em seus domínios através de uma solução específica. E, através de uma ferramenta especial, podemos detectar as ameaças de entrada que você recebe diariamente.

Procure uma das empresas componentes deste seleto grupo para verificar como anda sua proteção com relação a esse importante tema.

5. Como fechar o cerco com relação a estas ameaças?

Para concluir, para se fechar o cerco com relação a estas ameaças por e-mail, é importante procurar soluções que trabalhem em harmonia com o Microsoft Office 365 Advanced Threat Protection para uma defesa em camadas robusta contra ameaças avançadas.

Comece com uma base preventiva, com o Office 365 ATP, que é uma camada superior e eficaz para o Office 365 e o Outlook. Essa base preventiva filtra spam e desvia ataques com sinais de ameaça claros, como URLs maliciosos conhecidos ou endereços IP na lista negra.

Posteriormente, é importante que se busque uma defesa proativa. Soluções de mercado oferecem visibilidade total da atividade do remetente de um domínio, incluindo e-mails que nem cruzam os limites de rede de uma organização. Isso significa bloquear a representação de e-mails enviados que você nem conhece, protegendo sua marca, parceiros e clientes.

Dentro da tríade da Segurança da Informação, “processos, sistemas e pessoas”, é profundamente conhecido que “pessoas” são o ponto mais fraco deste laço, portanto, para fechar o cerco, é importante que se capacite as pessoas a tomar decisões mais seguras.

É importante, ainda, ressaltar a importância da adoção de uma solução de linha de defesa final, que forneça indicadores visuais de ameaças em cada e-mail. Isto é, uma proteção de terminal que sinalize ataques conhecidos, como aparência de domínios “amigáveis” que ignoram o gateway, pois não possuem sinais óbvios de ameaça.

Gostou desse conteúdo, então ative as notificações para receber nossos artigos em primeira mão!

***