OPSWAT Proactive DLP (Data Loss Prevention) è una funzionalità chiave per rilevare e proteggere i dati sensibili e riservati dalle violazioni. Con alcune modifiche alla configurazione, è possibile sfruttare la tecnologia OCR (Optical Character Recognition) integrata in Proactive DLP per rilevare i contenuti di phishing nelle immagini.
Che cos'è il phishing?
Il phishing è un crimine informatico in cui gli attori delle minacce si fingono una persona o un'organizzazione legittima per "adescare" le vittime suscettibili e indurle a compiere un'azione (ad esempio, cliccare su un link, installare un allegato dannoso o concedere agli attori delle minacce l'accesso al computer o alla rete dell'organizzazione) per rubare informazioni sensibili.
L'e-mail è il canale più comune per il phishing. I criminali informatici inviano messaggi fraudolenti con un linguaggio allettante per guadagnare la fiducia del destinatario e spingerlo a compiere azioni dannose.
Phishing con le macro di Microsoft Office
Le macro sono uno dei vettori di attacco più diffusi e sfruttati dagli attori delle minacce. In questo blog abbiamo discusso di come i criminali informatici sfruttano la macro di Excel 4.0 per memorizzare malware nascosto.
La catena di attacchi inizia solitamente con un'e-mail. In primo luogo, l'aggressore invia un'e-mail ingannevole che sembra provenire da una fonte affidabile. Questa e-mail contiene generalmente un documento allegato con una macro dannosa incorporata. Una volta che la vittima apre e attiva la macro, consente immediatamente il download del malware e l'avvio del processo di infezione.
Quando si scarica un documento Word (.doc) da Internet, il file si apre automaticamente in modalità protetta. Questa modalità isola i contenuti Web non affidabili per limitare la possibilità di aprire inavvertitamente malware, spyware o qualsiasi altro codice potenzialmente dannoso.
La Visualizzazione protetta consente di leggere il file senza eseguire alcun potenziale malware nascosto. Se si è sicuri che il file è sicuro e si desidera apportare modifiche, è possibile fare clic su "Abilita modifica". Se il file contiene macro, ci sarà un'altra barriera di sicurezza. Microsoft Office chiederà all'utente di autorizzare o meno il contenuto interno tramite il pulsante "Abilita contenuto".
Da un lato, gli attori delle minacce hanno ideato tecnologie di macro sfruttamento in grado di aggirare le difese di sicurezza, tra cui codice offuscato, stomping o file protetti da password. Dall'altro, hanno dovuto aumentare la credulità dei loro bersagli facendo sembrare essenziale cliccare su "Abilita modifica" e "Abilita contenuto". Messaggi come "Per favore, abilita la modifica e il contenuto per vedere questo documento" possono realizzare con successo questo stratagemma.
Questa tattica di social engineering è semplice ma efficace per la distribuzione di malware e payload, tanto da essere il metodo avanzato di evasione del malware per lo stomping di VBA o la distribuzione primaria di Emotet, il malware più pericoloso al mondo.
Utilizzo del riconoscimento ottico dei caratteri per rilevare le immagini di phishing
OPSWAT Proactive DLP supporta l'OCR (Optical Character Recognition), che può aiutare a bloccare i documenti di phishing. La tecnologia combina l'OCR con le espressioni regolari (RegEx) e le parole chiave per rilevare le parole chiave di phishing nelle immagini.
L'OCR è una tecnologia utilizzata prevalentemente per riconoscere il testo all'interno delle immagini. Esamina ed estrae i dati da testi scritti a mano o stampati, sia da un documento scansionato che da un'immagine, e poi converte il testo in un formato leggibile dalla macchina che può essere utilizzato per l'elaborazione dei dati. Più il sistema OCR è avanzato, maggiore è l'accuratezza del riconoscimento.
Ecco un esempio della configurazione di Proactive DLP in OPSWAT MetaDefender Core . Nella sezione "Check for Regular Expressions", è possibile utilizzare il campo "RegEx" per inserire potenziali parole chiave di phishing e aggiungere altre parole chiave pertinenti (ad esempio, "decrypt", "protected") nel campo "Keywords" per ridurre i falsi positivi.
Se il file contiene parole chiave di phishing, viene bloccato. Di seguito il risultato del test:
OPSWAT Proactive DLP
OPSWAT Proactive DLP rileva e cancella automaticamente i dati sensibili e riservati contenuti nei file e nelle e-mail, compresi i numeri di carta di credito, i numeri di previdenza sociale, gli indirizzi IPv4, CIDR (Classless Inter-Domain Routing) o qualsiasi espressione regolare personalizzata. Grazie all'integrazione dell'OCR, Proactive DLP aiuta anche a bloccare i documenti di phishing e a segnalare le informazioni di identificazione personale (PII) nelle immagini e nei file PDF non ricercabili.
La nostra tecnologia favorisce inoltre la conformità alle normative sulla protezione dei dati e ai requisiti di sicurezza standard del settore, come PCI, HIPAA, Gramm-Leach-Bliley, FINRA e altri ancora. Proactive DLP è una tecnologia chiave in molti prodotti OPSWAT : MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk, e MetaDefender Managed File Transfer.
Per saperne di più su Proactive DLP e su come OPSWAT può proteggere la vostra organizzazione,contattateuno dei nostri esperti di cybersicurezza delle infrastrutture critiche.
