El filtro de ataques dirigidos es uno de los tres mecanismos integrantes del servicio ATP.
El servicio es responsable de identificar y prevenir ataques de phishing personalizados, generalmente dirigidos a departamentos o a usuarios sensibles de una compañia que gestionan las cuentas bancarias o pueden hacer transferencias.
Comportamiento
El filtro utilizará una gran variedad de heurísticas y mecanismos para identificar tales correos:
- Sistema de reconocimiento de intenciones: comprueba patrones de contenido en el correo (p. ej. Solicitudes de transferencia bancarias, solicitudes de información confidencial, etc.)
- Análisis de intentos de fraude: verifica la integridad y autenticidad de los metadatos y del contenido de correo
- Reconocimiento de falsificación de identidad: identifica y bloquea remitentes falsificados
- Detección "Spy-Out": verifica si alguna información confidencial es solicitada (como contraseñas)
- Identificación de datos fingidos: identifica en el correo cualquier intento de obtención de información a través se datos falsificados
- Detección de ataques dirigidos: detecta ataques dirigidos específicamente a usuarios concretos
Qué buzones deberían usar el filtro de fraude dirigido TFFF?
El filtro está diseñado para proteger las cuentas de quienes toman las decisiones en la empresa. También es posible habilitarlo para todos los usuarios. Desde soporte necesitaremos una lista de las direcciones de correo a comprobar, antes de poder habilitar el servicio.
Escenarios típicos y consejos de configuración:
Para configurar el filtro correcta y satisfactoriamente, es necesario definir qué direcciones de correo podrían ser víctimas de un intento de fraude al CEO.
Ejemplo 1:
El atacante envía un correo en nombre del director al departamento de facturación, solicitando que se realize un ingreso en una cuenta bancaria determinada. El departamento de facturación acepta ese correo, lo abre y procesa la petición, ya que viene del director de la compañía.
En este ejemplo, dos direcciones han sido afectadas por un fraude al CEO, la dirección del director y la dirección del departamento de facturación. Para este ejemplo, el filtro debería estar activo para el director.
Ejemplo 2:
El atacante envía un correo a diferentes empleados en nombre de un departamento o jefe de equipo con instrucciones de pago.
En este caso, debería configurarse la dirección del jefe de equipo o del departamento en cuestión en el filtro, ya que es quien tiene la autoridad de tomar decisiones o dar instrucciones.
En caso de querer usar este primer nivel del filtro, es necesario hacer una lista de las direcciones de correo que quieran incluirse en el filtro, especificando también los nombres y apellidos de las personas que usan esas cuentas.
Para finalizar la configuración necesitaremos una lista en CSV con la siguiente información:
Nombre; Apellido; Dominio (y alias de dominio, si tuviera); dirección de correo (y direcciones alias, si las hubiera)
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.