Os cibercriminosos descobriram um novo vetor de ataque sofisticado que armazia a infraestrutura de segurança da Cisco contra os usuários, de acordo com pesquisas recentes da Raven AI.
Os sistemas de detecção com reconhecimento de contexto da empresa descobriram uma campanha de phishing credenciais que explora links seguros da Cisco para evitar tradicionais e-mail Scanners de segurança e filtros de rede de desvio, destacando uma tendência perigosa de atacantes transformando ferramentas de segurança confiáveis em armas.
O mecanismo de exploração de confiança
O ataque aproveita uma fraqueza fundamental na psicologia humana e nos sistemas de segurança automatizados: confiança por associação.
Quando os usuários encontram URLs começando com “secure-web.cisco.com”, eles instintivamente assumem que os links foram examinados e aprovados pela infraestrutura de segurança da Cisco.
Essa confiança se estende aos sistemas de segurança automatizados, que geralmente permitem que os domínios da marca Cisco passem por filtros sem escrutínio rigoroso.
Os links seguros da Cisco, parte do conjunto de gateway de e -mails e segurança da Web da empresa, funções reescrevendo URLs suspeitos em e -mails e rotulando cliques na infraestrutura de análise de ameaças da Cisco antes de direcionar os usuários para os destinos pretendidos.
Embora essa tecnologia tenha impedido inúmeros ataques de phishing, os cibercriminosos aprenderam agora a explorar o próprio mecanismo projetado para proteger os usuários.
Pesquisadores de segurança têm identificado Quatro métodos primários invasores usam para gerar links seguros da Cisco legítimos para fins maliciosos.
A abordagem mais comum envolve comprometer contas nas organizações protegidas pela Cisco, onde os atacantes enviam links maliciosos e colhe os links seguros gerados automaticamente.
Os métodos alternativos incluem a exploração de serviços SaaS que enviam e-mails através de ambientes protegidos pela Cisco e reciclagem de links seguros ativos de campanhas anteriores.
Os sistemas de detecção de reconhecimento de contexto de Raven AI identificaram recentemente um exemplo sofisticado dessa técnica de ataque em ação.
A campanha de phishing disfarçou como uma “solicitação de revisão de documentos” de um serviço de assinatura eletrônica, completa com marca profissional e terminologia comercial.
Diferentemente das soluções de segurança tradicionais que podem se concentrar apenas na reputação do domínio, a IA de Raven identificou anomalias contextuais no fluxo de trabalho do processo de negócios e estruturas de URL suspeitas com parâmetros codificados.
As soluções convencionais de segurança por e -mail lutam com esses ataques porque parecem legítimos em todos os níveis técnicos.
Os elementos maliciosos estão ocultos em contexto e comportamento, e não em indicadores técnicos óbvios.
Muitos gateways de segurança concentram sua análise em domínios visíveis nos URLs, permitindo que os domínios do Cisco.com ignorassem os sistemas de detecção que sinalizariam outros links suspeitos.
Esta metodologia de ataque representa uma mudança fundamental em segurança cibernética Ameaças, onde os invasores exploram relacionamentos de confiança e processos de negócios legítimos, em vez de vulnerabilidades puramente técnicas.
As soluções tradicionais de segurança baseadas em assinatura e baseadas em reputação provam inadequadas contra ataques que parecem profissionais e usam infraestrutura confiável.
O incidente ressalta a crescente importância da IA com reconhecimento de contexto em segurança por email, que analisa não apenas os componentes técnicos das comunicações, mas também seus padrões comportamentais e adequação do processo de negócios.
À medida que os atacantes continuam evoluindo suas técnicas para explorar a infraestrutura de segurança confiável, as organizações devem adaptar suas defesas para entender a intenção do atacante, em vez de simplesmente bloquear os maus atores conhecidos.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!