A falsificação de marcas, sites e e-mails corporativos está se tornando uma técnica cada vez mais comum usada por cibercriminosos. A Organização Mundial da Propriedade Intelectual (OMPI) relatou um aumento nesses incidentes em 2025. Embora as empresas de tecnologia e as marcas de consumo sejam os alvos mais frequentes, todos os setores, em todos os países, correm risco. A única coisa que muda é como os impostores exploram as falsificações. Na prática, é comum ver os seguintes cenários de ataques:

• Atrair os clientes para um site falso para coletar credenciais de login da loja on-line real ou para roubar informações de pagamento para roubo direto.
• Atrair funcionários e parceiros de negócios para um portal de login corporativo falso para adquirir credenciais legítimas a fim de se infiltrar na rede corporativa.
• Solicitar que clientes entrem em contato com os golpistas sob vários pretextos: obter suporte técnico, processar um reembolso, concorrer a um prêmio ou reivindicar compensação por eventos públicos envolvendo a marca. O objetivo é enganar as vítimas e roubar o máximo de dinheiro possível.
• Atrair parceiros de negócios e funcionários para páginas cuidadosamente criadas para imitar os sistemas internos da empresa, para que eles aprovem um pagamento ou redirecionem um pagamento legítimo para os golpistas.
• Solicitar que clientes, parceiros de negócios e funcionários baixem malware (na maioria das vezes um infostealer) disfarçado de software corporativo de um site falso da empresa.

Aqui, as palavras “atrair” e “persuadir” englobam um conjunto completo de táticas: e-mail, mensagens em aplicativos de bate-papo, postagens de mídia social que parecem anúncios oficiais, sites semelhantes promovidos por ferramentas de SEO e até anúncios pagos.

Todos esses artifícios compartilham duas características em comum. Primeiro, os invasores analisam a marca da organização e se esforçam para imitar o site oficial, nome de domínio e estilo corporativo de e-mails, anúncios e postagens de mídia social. E a falsificação não precisa ser perfeita, mas apenas convincente o suficiente para pelo menos alguns parceiros de negócios e clientes. Em segundo lugar, embora a organização e seus recursos on-line não sejam alvos diretos, o impacto sobre eles ainda é significativo.

Danos comerciais causados pela falsificação da identidade de marcas

Quando as falsificações são criadas para atingir funcionários, um ataque pode causar perdas financeiras diretas. É possível persuadir um funcionário para transferir fundos da empresa ou usar suas credenciais para roubar informações confidenciais ou iniciar um ataque de ransomware.

Os ataques a clientes normalmente não causam danos diretos aos cofres da empresa, mas geram danos indiretos substanciais nas seguintes áreas:

• Sobrecarga da equipe de suporte ao cliente. Os clientes que “compraram” um produto em um site falso provavelmente entrarão em contato com a equipe real de suporte ao cliente para resolver o problema. Convencer os clientes de que a compra, na verdade, nunca foi feita é difícil, o que torna cada caso uma grande perda de tempo para vários agentes de suporte.
• Danos à reputação. Os clientes vítimas de fraude geralmente culpam a marca por não protegê-los contra o golpe, além de exigir compensação. De acordo com uma pesquisa europeia, cerca de metade dos compradores afetados exigem uma compensação e podem optar por parar de usar os serviços da empresa, muitas vezes compartilhando sua experiência negativa nas mídias sociais. Isso é especialmente prejudicial se as vítimas forem figuras públicas ou tiverem muitos seguidores nas redes sociais.
• Custos de resposta não planejados. Dependendo das especificidades e da escala de um ataque, uma empresa afetada pode precisar de serviços de perícia digital e resposta a incidentes (DFIR), bem como consultores especializados em direito do consumidor, propriedade intelectual, segurança cibernética e relações públicas de crise.
• Prêmios de seguro mais altos. As seguradoras contratadas pelas empresas para protegê-las contra incidentes cibernéticos levam em consideração as consequências geradas pela falsificação da identidade da marca. Um perfil de risco aumentado pode acarretar um prêmio mais alto para uma empresa.
• Desempenho do site prejudicado e aumento dos custos com anúncios. Se os criminosos exibem anúncios pagos usando o nome de uma marca, eles desviam o tráfego do site oficial. Além disso, se uma empresa paga para anunciar seu site, o custo por clique sobe devido ao aumento da concorrência. Esse é um problema particularmente grave para empresas de TI que vendem serviços on-line, mas também é relevante para marcas de varejo.
• Declínio de indicadores de longo prazo. Isso inclui queda no volume de vendas, na participação e na capitalização de mercado. Tudo isso é consequência da perda de confiança dos clientes e parceiros de negócios após incidentes importantes.

O seguro cobre os danos?

Normalmente, as apólices de seguro populares contra riscos cibernéticos cobrem apenas custos diretamente vinculados a incidentes especificados na política, como perda de dados, interrupção dos negócios, comprometimento do sistema de TI, entre outros. Domínios e páginas da Web falsos não causam danos diretos aos sistemas de TI de uma empresa. Portanto, eles geralmente não são cobertos por um seguro padrão. Os danos à reputação e o próprio ato de falsificação de identidade representam riscos distintos, exigindo cobertura expandida do seguro específica para este cenário.

Das perdas indiretas listadas acima, um seguro padrão pode cobrir as despesas do DFIR e, em alguns casos, custos extras de suporte ao cliente (se a situação for reconhecida como um evento segurado). É quase certo que reembolsos voluntários a clientes, vendas perdidas e danos à reputação não estão cobertos.

O que fazer se sua empresa for atacada por clones

Se você descobrir que alguém está usando o nome da sua marca com o objetivo de cometer fraude, faz sentido fazer o seguinte:

• Envie notificações claras e diretas aos clientes explicando o que aconteceu, quais medidas estão sendo tomadas e como eles podem verificar a autenticidade de sites oficiais, e-mails e outras comunicações.
• Crie uma página simples de um “centro de confiança”, contendo domínios oficiais, contas de mídia social, links da loja de aplicativos e contatos de suporte. Garanta acesso fácil à página e a mantenha atualizada.
• Monitore novos registros de páginas de mídia social e domínios que contenham os nomes da sua marca a fim de detectar os clones antes que um ataque seja iniciado.
• Siga um procedimento de remoção. Isso envolve coletar provas, fazer reclamações aos registradores de domínio, provedores de hospedagem e administradores de mídia social e, em seguida, rastrear as falsificações até que todas elas sejam removidas. Para gerar um registro completo e preciso das violações, reúna URLs, capturas de tela, metadados e informações sobre a data e hora da descoberta. O ideal é também examinar o código-fonte das páginas falsas, pois ele pode conter pistas que apontem para outros componentes da operação criminosa.
• Adicione um formulário simples ao seu site oficial e/ou aplicativo para que os clientes possam denunciar sites ou mensagens suspeitos. Isso ajuda você a identificar os problemas mais cedo.
• Coordene as atividades entre as equipes jurídica, de segurança cibernética e de marketing. Isso garante uma resposta consistente, unificada e eficaz.

Como se defender contra ataques de falsificação de identidade de marcas

Embora a natureza aberta da Internet e as especificidades desses ataques façam com que seja impossível se prevenir totalmente contra eles, uma empresa pode se manter informada sobre novas falsificações e dispor de ferramentas para reagir a ataques.

• Faça o monitoramento contínuo de atividades públicas suspeitas usando serviços de monitoramento especializados. O indicador mais óbvio é o registro de domínios semelhantes ao nome da sua marca. Mas existem outros, como a compra de bancos de dados relacionados à sua organização na dark Web. O melhor a ser feito é terceirizar o monitoramento abrangente de todas as plataformas para um provedor de serviços especializado, como o Kaspersky Digital Footprint Intelligence (DFI).
• A maneira mais rápida e simples de remover um site ou um perfil de mídia social falsos é registrar uma reclamação de violação de marca registrada. Certifique-se de que seu portfólio de marcas registradas seja robusto o suficiente para registrar reclamações de acordo com os procedimentos da UDRP antes de precisar utilizá-los.
• Ao descobrir falsificações, implemente os procedimentos da UDRP imediatamente para que os domínios falsos sejam transferidos ou removidos. No caso de mídias sociais, siga o procedimento de violação específico da plataforma, facilmente encontrado ao pesquisar por “[social media name] violação de marca registrada” (por exemplo, “Violação de marca registrada do LinkedIn“). É preferível transferir o domínio para o proprietário legítimo em vez de excluí-lo, pois isso evita que os golpistas o registrem novamente. Muitos serviços de monitoramento contínuo, como o Kaspersky Digital Footprint Intelligence, também oferecem um serviço de remoção rápida, registrando reclamações em nome da marca protegida.
• Aja rapidamente para bloquear domínios falsos nos seus sistemas corporativos. Isso não protegerá parceiros ou clientes, mas dificultará os ataques direcionados aos seus próprios funcionários.
• Registre o nome do site da sua empresa e suas variações comuns (por exemplo, com e sem hifens) em todos os principais domínios conhecidos, como .com e extensões locais. Isso ajuda a proteger parceiros e clientes contra erros de digitação comuns e sites imitadores simples.

Poucos especialistas em cibersegurança discordariam de que ataques a servidores Microsoft Exchange devem ser considerados inevitáveis e o risco de comprometimento permanece consistentemente elevado. Em outubro, a Microsoft encerrou o suporte ao Exchange Server 2019, tornando o Exchange Server Subscription Edition (Exchange SE) a única solução on-premises suportada até 2026. Apesar disso, muitas organizações continuam operando o Exchange Server 2016, 2013 e até versões ainda mais antigas.

Para agentes de ameaça, o Exchange é um alvo irresistível. Sua popularidade, complexidade, vasta quantidade de configurações e, principalmente, sua acessibilidade a partir de redes externas o tornam suscetível a uma ampla variedade de ataques:

• Infiltração de caixas de correio por meio de ataques de password spraying ou spearphishing
• Comprometimento de contas devido ao uso de protocolos de autenticação obsoletos
• Roubo de e-mails específicos mediante a injeção de regras maliciosas de fluxo de e-mail via Exchange Web Services
• Sequestro de tokens de autenticação de funcionários ou falsificação de mensagens explorando falhas na infraestrutura de processamento de e-mails do Exchange
• Exploração de vulnerabilidades do Exchange para executar código arbitrário (implantação de Web shells) no servidor
• Movimento lateral e comprometimento do servidor, em que o Exchange se torna um ponto de apoio para reconhecimento de rede, hospedagem de malware e tunelamento de tráfego
• Exfiltração de e-mails a longo prazo por meio de implantes especializados para Exchange

Para compreender de fato a complexidade e a variedade dos ataques ao Exchange, vale revisar as pesquisas sobre as ameaças GhostContainer, Owowa, ProxyNotShell e PowerExchange.

Dificultar o comprometimento do Exchange pelos invasores e reduzir o impacto de um ataque bem-sucedido não é impossível, mas exige uma série de medidas que vão desde simples alterações de configuração até migrações complexas de protocolos de autenticação. Uma revisão conjunta de medidas de defesa prioritárias foi publicada recentemente pelo Centro Canadense de Cibersegurança (CISA) e por outros órgãos reguladores de cibersegurança. Então, como começar o fortalecimento de segurança do seu Exchange on-premises?

Migração de versões EOL

A Microsoft e a CISA recomendam a transição para o Exchange SE para garantir o recebimento pontual de atualizações de segurança. Para organizações que não conseguem realizar a migração imediatamente, há uma assinatura paga de Extended Security Updates (ESU) disponível para as versões de 2016 e 2019. A Microsoft enfatiza que atualizar a versão de 2016 ou 2019 para o Exchange SE tem complexidade semelhante à instalação de uma Cumulative Update padrão.

Se, por qualquer motivo, for necessário manter em operação uma versão sem suporte, ela deve ser rigidamente isolada tanto da rede interna quanto da externa. Todo o fluxo de e-mail deve ser roteado por um gateway de segurança de e-mail especialmente configurado.

Atualizações regulares

A Microsoft lança duas atualizações cumulativas por ano, além de hotfixes de segurança mensais. Uma tarefa essencial para administradores de Exchange é estabelecer um processo para implantar essas atualizações sem demora, já que agentes maliciosos não perdem tempo em explorar vulnerabilidades conhecidas. É possível acompanhar o cronograma e o conteúdo dessas atualizações na página oficial da Microsoft. Para verificar o estado geral e a situação de atualização da sua instalação do Exchange, utilize ferramentas como SetupAssist e Exchange Health Checker.

Mitigações emergenciais

Para vulnerabilidades críticas exploradas ativamente, instruções temporárias de mitigação costumam ser publicadas no blog do Exchange e na página de mitigações do Exchange. O serviço mitigação de emergência (EM) deve estar ativado nos seus servidores Exchange Mailbox. O EM conecta-se automaticamente ao Office Config Service para baixar e aplicar regras de mitigação para ameaças urgentes. Essas medidas podem desativar rapidamente serviços vulneráveis e bloquear solicitações maliciosas por meio de regras de reescrita de URL no IIS.

Baselines de segurança

Um conjunto uniforme de configurações, abrangendo toda a organização e otimizado às suas necessidades, deve ser aplicado não apenas aos servidores Exchange, mas também aos clientes de e-mail em todas as plataformas e aos sistemas operacionais subjacentes.

Como as baselines de segurança recomendadas diferem entre sistemas operacionais e versões do Exchange, o guia da CISA faz referência aos populares e gratuitos CIS Benchmarks e às instruções da Microsoft. O CIS Benchmark mais recente foi criado para o Exchange 2019, mas também é totalmente aplicável ao Exchange SE, já que as opções de configuração atuais do Subscription Edition não diferem das do Exchange Server 2019 CU15.

Soluções de segurança especializadas

Um erro crítico cometido por muitas organizações é não instalar agentes de EDR e EPP em seus servidores Exchange. Para prevenir a exploração de vulnerabilidades e a execução de Web shells, o servidor precisa ser protegido por uma solução de segurança como Kaspersky Endpoint Detection and Response. O Exchange Server integra-se à Antimalware Scan Interface (AMSI), o que permite que ferramentas de segurança processem eventos no lado do servidor de forma eficaz.

A lista de permissão de aplicativos pode dificultar significativamente as tentativas de invasores de explorar vulnerabilidades do Exchange. Esse recurso é padrão na maioria das soluções EPP avançadas. No entanto, se for necessário implementá-lo usando ferramentas nativas do Windows, é possível restringir aplicativos não confiáveis usando App Control for Business ou AppLocker.

Para proteger funcionários e suas máquinas, o servidor deve utilizar uma solução como o Kaspersky Security for Mail Serve para filtrar o tráfego de e-mail. Isso resolve diversos desafios para os quais o Exchange on-premises, em sua configuração padrão, não possui ferramentas suficientes, como autenticação de remetentes por meio dos protocolos SPF, DKIM e DMARC, ou proteção contra spam sofisticado e spearphishing.

Se, por qualquer motivo, um EDR completo não estiver implantado no servidor, é fundamental ao menos ativar o antivírus padrão e garantir que a regra de Attack Surface Reduction (ASR) “Block Webshell creation for Servers” esteja ativada.

Para evitar a degradação de desempenho do servidor ao utilizar o antivírus padrão, a Microsoft recomenda excluir arquivos e pastas específicas das verificações.

Restrição de acesso administrativo

Invasores frequentemente elevam privilégios abusando do acesso ao Exchange Admin Center (EAC) e ao PowerShell Remoting. As boas práticas determinam que essas ferramentas sejam acessíveis apenas por meio de um número limitado de estações de trabalho com privilégios elevados (PAWs). Isso pode ser aplicado por meio de regras de firewall nos próprios servidores Exchange ou utilizando um firewall. As regras de Client Access nativas no Exchange também podem oferecer alguma utilidade nesse cenário, mas não conseguem impedir o abuso de PowerShell.

Adoção de Kerberos e SMB em vez de NTLM

A Microsoft está eliminando gradualmente protocolos de rede e de autenticação legados. Instalações modernas do Windows desativam SMBv1 e NTLMv1 por padrão, com versões futuras devendo também desativar NTLMv2. Iniciando com o Exchange SE CU1, o NTLMv2 será substituído pelo Kerberos, implementado usando MAPI over HTTP, como o protocolo de autenticação padrão.

As equipes de TI e segurança devem conduzir uma auditoria completa do uso de protocolos legados na infraestrutura e desenvolver um plano de migração para métodos modernos e mais seguros de autenticação.

Métodos de autenticação modernos

A partir do Exchange 2019 CU13, os clientes podem utilizar uma combinação de OAuth 2.0, MFA e ADFS para uma autenticação robusta: uma estrutura conhecida como Modern Authentication, ou Modern Auth. Assim, um usuário só consegue acessar sua caixa de e-mail após concluir com sucesso a MFA via ADFS, com o servidor Exchange recebendo então um token de acesso válido do servidor ADFS. Depois que todos os usuários tiverem migrado para Modern Auth, a autenticação básica deve ser desativada no servidor Exchange.

Ativação do Extended Protection

O Extended Protection (EP) fornece defesa contra ataques de retransmissão NTLM, Adversary-in-the-Middle, e técnicas semelhantes. Ela aprimora a segurança TLS usando um Channel Binding Token (CBT). Se um invasor roubar credenciais ou um token e tentar usá-los em uma sessão TLS diferente, o servidor encerra a conexão. Para ativar o EP, todos os servidores Exchange devem estar configurados para usar a mesma versão do TLS.

O Extended Protection é ativado por padrão em novas instalações de servidor iniciando com o Exchange 2019 CU14.

Versões seguras de TLS

Toda a infraestrutura de servidores, incluindo todos os servidores Exchange, deve estar configurada para usar a mesma versão de TLS: 1.2 ou, idealmente, 1.3. A Microsoft oferece orientações detalhadas sobre a configuração ideal e verificações prévias necessárias. É possível usar o script Health Checker para verificar a correção e uniformidade dessas configurações.

HSTS

Para garantir que todas as conexões estejam protegidas por TLS, também é necessário configurar o HTTP Strict Transport Security (HSTS). Isso ajuda a prevenir certos ataques AitM. Após aplicar as alterações de configuração do Exchange Server recomendadas pela Microsoft, todas as conexões ao Outlook on the Web (OWA) e ao EAC serão forçadas a usar criptografia.

Download Domains

O recurso Download Domains fornece proteção contra certos ataques de falsificação de solicitação entre sites e roubo de cookies, movendo o download de anexos para um domínio diferente daquele que hospeda o Outlook on the Web da organização. Isso separa o carregamento da interface e da lista de mensagens do download de arquivos anexados.

Modelo de administração baseado em funções

O Exchange Server implementa um modelo de controle de acesso baseado em funções (RBAC) para usuários privilegiados e administradores. A CISA destaca que contas com privilégios de administrador do AD muitas vezes também são usadas para gerenciar o Exchange. Nessa configuração, o comprometimento do servidor Exchange leva imediatamente ao comprometimento total do domínio. Portanto, é fundamental usar permissões divididas e RBAC para separar o gerenciamento do Exchange de outros privilégios administrativos. Isso reduz o número de usuários e administradores com privilégios excessivos.

Assinatura de fluxos do PowerShell

Administradores frequentemente usam scripts PowerShell conhecidos como cmdlets para modificar configurações e gerenciar servidores Exchange por meio do Exchange Management Shell (EMS). O acesso remoto ao PowerShell deve, idealmente, ser desativado. Quando estiver ativado, os fluxos de dados de comando enviados ao servidor devem ser protegidos com certificados. Desde novembro de 2023, essa configuração está ativada por padrão para Exchange 2013, 2016 e 2019.

Proteção de cabeçalhos de e-mail

Em novembro de 2024, a Microsoft introduziu uma proteção aprimorada contra ataques que envolvem a falsificação de cabeçalhos P2 FROM, que levava as vítimas a acreditarem que os e-mails tinham sido enviados por um remetente confiável. Novas regras de detecção agora sinalizam e-mails em que esses cabeçalhos provavelmente foram manipulados. Administradores não devem desativar essa proteção e devem encaminhar e-mails suspeitos contendo o cabeçalho X-MS-Exchange-P2FromRegexMatch para especialistas em segurança para análise adicional.

[Kaspersky Next banner]

As extensões de navegador mal-intencionadas continuam sendo um ponto cego significativo para as equipes de cibersegurança de muitas organizações. Elas se tornaram um elemento permanente no arsenal dos criminosos cibernéticos, sendo usadas para roubo de sessão e conta, espionagem, mascaramento de outras atividades criminosas, fraude em anúncios e roubo de criptomoedas. Os incidentes de alto perfil envolvendo extensões mal-intencionadas são frequentes, abrangendo desde o comprometimento da extensão de segurança Cyberhaven até a publicação em massa de extensões de infostealer.

As extensões atraem os invasores porque concedem permissões e amplo acesso a informações dentro de aplicativos SaaS e sites. Como não são aplicativos independentes, geralmente passam despercebidas pelas políticas de segurança e ferramentas de controle padrão.

A equipe de segurança de uma empresa deve abordar esse problema de forma sistemática. O gerenciamento de extensões de navegador exige combinar ferramentas de política com serviços ou utilitários focados na análise de extensões. Este tópico foi o foco da palestra de Athanasios Giatsos no Security Analyst Summit 2025.

Recursos de ameaça de extensões da Web e inovações no Manifest V3

A extensão da Web de um navegador tem amplo acesso às informações da página da Web: ela pode ler e modificar qualquer dado disponível para o usuário por meio do aplicativo da Web, incluindo registros financeiros ou médicos. As extensões também acessam dados importantes sem que o usuário perceba como cookies, armazenamento local e configurações de proxy. Isso simplifica bastante o sequestro de sessão. Às vezes, as extensões vão muito além das páginas da Web: elas podem acessar a localização do usuário, downloads do navegador, captura de tela da área de trabalho, conteúdo da área de transferência e notificações do navegador.

Na arquitetura de extensões anteriormente dominante, as extensões do Manifest V2, que funcionavam no Chrome, Edge, Opera, Vivaldi, Firefox e Safari, são praticamente indistinguíveis de aplicativos completos em termos de recursos. Elas podem executar scripts em segundo plano continuamente, manter páginas da Web invisíveis abertas, carregar e executar scripts de sites externos e comunicar-se com sites arbitrários para recuperar ou enviar dados. Para conter possíveis abusos, bem como limitar os bloqueadores de anúncios, o Google fez a transição do Chromium e do Chrome para o Manifest V3. A atualização limitou ou bloqueou muitos recursos das extensões. As extensões precisam declarar todos os sites com que interagem, não podem mais executar código de terceiros carregado dinamicamente e devem usar microsserviços de curta duração em vez de scripts persistentes em segundo plano. Embora certos ataques tenham se tornado mais difíceis com a nova arquitetura, invasores ainda conseguem adaptar o código mal-intencionado para manter a maior parte das funções necessárias, mesmo sacrificando a discrição. Portanto, contar apenas com navegadores e extensões que operam sob o Manifest V3 em uma organização simplifica o monitoramento, mas não é uma solução completa.

Além disso, o V3 não resolve o problema principal das extensões: elas geralmente são baixadas de lojas de aplicativos oficiais usando domínios legítimos do Google, da Microsoft ou da Mozilla. Suas atividades parecem ser iniciadas pelo próprio navegador, tornando extremamente difícil distinguir entre as ações executadas por uma extensão e aquelas realizadas manualmente pelo usuário.

Como surgem as extensões mal-intencionadas

Com base em vários incidentes públicos, Athanasios Giatsos destaca diversos cenários em que as extensões mal-intencionadas podem surgir:

• O desenvolvedor original vende uma extensão legítima e popular. O comprador então a “aprimora” com código mal-intencionado para exibição de anúncios, espionagem ou outros fins nocivos. Exemplos incluem The Great Suspender e Page Ruler.
• Os invasores comprometem a conta do desenvolvedor e publicam uma atualização com um cavalo de Troia em uma extensão, como foi o caso da Cyberhaven.
• A extensão é projetada para ser mal-intencionada desde o início. Ela se disfarça como um utilitário relevante, como uma ferramenta falsa Salvar no Google Drive, ou imita os nomes e designs de extensões populares, como as dezenas de clones do AdBlock disponíveis.
• Uma versão mais sofisticada desse esquema envolve publicar inicialmente a extensão em um estado limpo, em que ela executa uma função genuinamente útil. As adições mal-intencionadas são introduzidas semanas ou até meses depois, quando a extensão já alcançou popularidade suficiente. A extensão ChatGPT para o Google é um exemplo.

Em todos esses cenários, ela está amplamente disponível na Chrome Web Store e, às vezes, até anunciada. No entanto, há também um cenário de ataque direcionado em que páginas ou mensagens de phishing solicitam que as vítimas instalem uma extensão mal-intencionada que não está disponível para o público em geral.

A distribuição centralizada pela Chrome Web Store, somada às atualizações automáticas do navegador e das extensões, frequentemente leva os usuários a instalar sem perceber e sem esforço uma extensão mal-intencionada. Se uma extensão já instalada em um computador receber uma atualização mal-intencionada, ela será instalada automaticamente.

Defesas organizacionais contra extensões mal-intencionadas

Em sua palestra, Athanasios fez uma série de recomendações gerais:

• Adotar uma política da empresa para o uso de extensões de navegador.
• Proibir qualquer extensão que não esteja explicitamente incluída em uma lista aprovada pelos departamentos de cibersegurança e TI.
• Fazer auditoria contínua de todas as extensões instaladas e suas versões.
• Quando as extensões forem atualizadas, acompanhe as permissões concedidas e verifique mudanças na propriedade ou na equipe de desenvolvedores.
• Incluir orientações claras sobre riscos e regras para o uso de extensões nos treinamentos de conscientização de segurança para todos os funcionários.

Acrescentamos algumas informações práticas e considerações específicas para essas recomendações.

Lista restrita de extensões e navegadores. Além de aplicar políticas de segurança ao navegador oficialmente aprovado da empresa, é crucial proibir a instalação de versões portáteis e de navegadores de IA populares, como o Comet,ou outras soluções não autorizadas que permitem a instalação das mesmas extensões perigosas. Ao implementar essa etapa, restrinja os privilégios de administrador local à equipe de TI e às demais pessoas cujas funções realmente exijam esse nível de acesso.

Como parte da política do navegador principal da empresa, você deve desativar o modo de desenvolvedor e proibir a instalação de extensões a partir de arquivos locais. Para o Chrome, gerencie isso por meio do Admin Console. Essas configurações também estão disponíveis por meio de Políticas de Grupo do Windows, perfis de configuração do macOS ou por meio de um arquivo de política JSON no Linux.

Atualizações gerenciadas. Implemente a fixação de versão para impedir que as atualizações de extensões permitidas sejam imediatamente instaladas em toda a empresa. As equipes de TI e de cibersegurança precisam testar regularmente as novas versões das extensões aprovadas e fixar as versões atualizadas somente depois de terem sido verificadas.

Proteção multicamadas. É obrigatória a instalação de um agente EDR em todos os dispositivos corporativos para impedir que os usuários iniciem navegadores não autorizados, mitigar os riscos de visita em sites de phishing mal-intencionados e bloquear downloads de malware. Também é necessário rastrear solicitações de DNS e tráfego de rede do navegador no nível do firewall para detecção em tempo real de comunicações com hosts suspeitos e outras anomalias.

Monitoramento contínuo. Use soluções de EDR e SIEM para coletar informações do estado do navegador das estações de trabalho dos funcionários. Isso inclui a lista de extensões em cada navegador instalado, juntamente com os arquivos de manifesto para análise de versão e permissão. Isso permite a detecção rápida de novas extensões que estão sendo instaladas ou da versão que está sendo atualizada e as alterações de permissão concedidas.

Como verificar as extensões do navegador

Para implementar os controles discutidos acima, a empresa precisa de um banco de dados interno de extensões aprovadas e proibidas. Infelizmente, as lojas de aplicativos e os próprios navegadores não oferecem mecanismos para avaliar o risco em uma escala organizacional ou para preencher automaticamente essa lista. Portanto, a equipe de cibersegurança precisa criar esse processo e a lista. Os funcionários também precisarão de um procedimento formal para enviar solicitações para adicionar extensões à lista aprovada.

A avaliação das necessidades da empresa e das alternativas disponíveis é melhor conduzida com um representante da respectiva unidade de negócios. No entanto, a avaliação de risco continua sendo de inteira responsabilidade da equipe de segurança. Não é necessário baixar extensões manualmente e ver suas referências em diferentes repositórios de extensões. Essa tarefa pode ser realizada por várias ferramentas, como utilitários de código aberto, serviços on-line gratuitos e plataformas comerciais.

Serviços como Spin.AI e Koidex (anteriormente ExtensionTotal) podem ser usados para avaliar o risco geral. Ambos mantêm um banco de dados de extensões populares, de modo que a avaliação geralmente seja instantânea. Eles usam LLMs para gerar um breve resumo das propriedades da extensão, mas também fornecem uma análise detalhada, incluindo as permissões necessárias, o perfil do desenvolvedor e o histórico de versões, classificações e downloads.

Para analisar os dados principais das extensões, você também pode usar o Chrome-Stats. Embora tenha sido projetado principalmente para desenvolvedores de extensões, esse serviço exibe classificações, avaliações e outros dados da loja. Ele permite que usuários baixem a versão atual e versões anteriores de uma extensão, facilitando a investigação de incidentes.

Você pode utilizar ferramentas, como o CRX Viewer, para uma análise mais detalhada das extensões suspeitas ou críticas para a operação. Essa ferramenta permite que os analistas examinem os componentes internos da extensão, filtrando e exibindo o conteúdo de forma prática, com ênfase no código HTML e JavaScript.