Bloqueado?
Nossas soluções
As equipes de TI e segurança enfrentam vários desafios relacionados aos seus negócios com regularidade. Descubra como nossas soluções podem ajudar a superar alguns desses problemas.
Proteção de e-mail
De problemas de processamento a ameaças oriundas de e-mails, nossas listas de bloqueio se integram facilmente à sua configuração de e-mail em uso para melhorar a filtragem de e-mail contra spam e vírus.
Investigue
Utilize nossa inteligência de ameaças para aumentar a visibilidade em eventos de segurança e revelar possíveis pontos fracos na sua rede e ameaças à sua marca.
Proteção de rede
Fique em dia sobre as últimas ameaças e combata proativamente as infecções por botnet, e outras formas de abuso, com nossas soluções.
Proteção do usuário
Do clique em um e-mail de phishing às visitas a sites instaladores de malware, nossa inteligência de ameaças oferece proteção automática aos seus usuários.
Nossos produtos
Nossos produtos oferecem camadas adicionais de segurança a redes e e-mail. Eles também fornecem insight extra às equipes de segurança sobre comportamentos maliciosos.
Border Gateway Protocol (BGP) Firewall
Use seus roteadores existentes compatíveis com BGP e bloqueie o que há de pior na borda da sua rede. A configuração leva apenas alguns minutos.
Data Query Service (DQS)
Beneficie-se das listas de bloqueio em tempo real que lideram o mercado. Essas DNSBLs podem ser conectadas à sua infraestrutura de e-mail para bloquear spam e outras ameaças de e-mail.
Passive DNS
Uma poderosa ferramenta de pesquisa para investigar relações entre infraestruturas de internet. Mude rapidamente para novas áreas que exigem atenção para investigar possíveis ameaças sem demora.
DNS Firewall
Bloqueie imediatamente conexões a sites perigosos, incluindo sites instaladores de malware e phishing. Uma solução do tipo “˜programe e esqueça”.
Spamhaus Intelligence API
Dados de inteligência de ameaças em formato de API que permitem aos usuários integrar facilmente metadados relacionados a ameaças a seus próprios aplicativos, programas e produtos.
Nossos datasets
Uma ampla gama de datasets que oferecem várias camadas de proteção. Eles podem ser conectados diretamente ao seu hardware existente, o que os torna uma opção econômica.
Border Gateway Protocol (BGP) Feeds
Feeds de dados Do Not Route Or Peer (DROP) e Lista de controladores de botnet (BCL) podem ser emparelhados com seu roteador existente compatível com BGP.
Listas de bloqueio de conteúdo
As listas de bloqueio de domínio (DBL), reputação zero (ZRD) e hash (HBL) permitem que você bloqueie o conteúdo em e-mails, removendo uma taxa maior de ameaças oriundas de e-mail já na filtragem.
Dados para investigação
Passive DNS e datasets estendidos disponibilizam informações adicionais sobre recursos da internet. Eles oferecem insights mais aprofundados sobre incidentes e possíveis ameaças.
DNS Firewall Threat Feeds
Uma ampla gama de feeds para aplicar ao seu servidor recursivo DNS. Escolha o nível certo de proteção para a sua organização.
Listas de bloqueio de IP
As listas de bloqueio de Spam (SBL), Política (PBL), Exploits (XBL) e Auth (AuthBL) permitem que você filtre e-mails de IPs associados a spam, botnets e outras ameaças.
Quem somos
Saiba mais sobre nós.
Saiba mais sobre a Spamhaus: quem somos e o que fazemos.
Parceiros
Saiba com quem trabalhamos e como você pode se tornar um parceiro da Spamhaus.
Recursos
Central de recursos
Consulte uma infinidade de postagens de blogs, estudos de caso e relatórios.
Perguntas frequentes
Perguntas frequentes sobre os produtos e processos da Spamhaus.
Documentos técnicos
Informações minuciosas sobre detalhes técnicos e a implementação de nossos produtos.
Ajuda para usuários de espelhos públicos da Spamhaus
Você usa os espelhos públicos gratuitos da Spamhaus? Isso deve ser capaz de ajudar
O Portal de Reputação
Uma ferramenta para que proprietários de ASN tenham visibilidade da reputação de seus IPs e possam gerenciar inclusões de modo proativo.
O Blocklist Tester
Uma ferramenta para ajudá-lo a verificar se seus servidores estão configurados corretamente para usar o Spamhaus DNSBLs.
Para desenvolvedores
Compartilhar
Há mais de oito anos, nossos pesquisadores seguem no encalço de uma operação que tem como alvo os usuários de Internet no Brasil, roubando suas credenciais bancárias, realizando transações não autorizadas e fazendo saques das contas das vítimas. Segue um resumo da história.
Nos idos de 2015, enquanto Mark Zuckerberg se ocupava em divulgar que o Facebook havia ultrapassado um bilhão de usuários, uma empresa da IBM, a SoftLayer, enfrentava um aumento desproporcional em sua presença nas listagens da Spamhaus.
A SoftLayer era vista como um provedor de serviços de internet (ISP) responsável. Contudo, mais para o fim daquele ano, eles chegaram ao perturbador (e deprimente) primeiro lugar na lista da Spamhaus dos Top 10 ISPs mais explorados.
Deixe-nos quantificar “aumento desproporcional”: naquela época, os ISPs responsáveis apareciam entre 20 e 200 listagens, e qualquer frequência que ultrapassasse essa métrica classificaria a rede como irresponsável. Seguindo o gráfico abaixo, você vai notar que a SoftLayer despontou em mais de 12.000 listagens, quando atingiu seu pico de entradas. Na época, isso pareceu inusitado para nossos pesquisadores. O que estava acontecendo com a SoftLayer? Por que esse ISP white hat de repente se tornara nocivo?
Gráfico 1. Número de IPs listados, incluindo adicionados e removidos — julho a outubro de 2015
Os pesquisadores da Spamhaus investigaram, e ficou evidente que aquela proliferação de listagens era resultado da seguinte atividade:
Assim que nossos pesquisadores determinavam os nomes das empresas atribuídas aos intervalos de endereços IP explorados, eles eram recolocados em uso por uma empresa diferente. Contudo, não era uma empresa diferente — eram as mesmas pessoas, enviando o mesmo malware. Isso ocorria diariamente. Às vezes, esses nomes de empresas brasileiras falsas, mas totalmente plausíveis, mudavam várias vezes ao dia.
A SoftLayer respondeu prontamente aos relatórios da Spamhaus sobre usos indevidos, mas assim que o ISP remediava os endereços IP relatados, eles eram rapidamente reatribuídos ao mesmo operador malicioso. A situação logo começou a virar um jogo frenético de gato e rato.
O círculo vermelho no gráfico indica que, a princípio, a SoftLayer achou que havia controlado a situação, quando sua presença nas listagens começou a declinar, para então começar a subir de novo. Nesse ponto, a Spamhaus decidiu parar de remover as entradas até que a SoftLayer adotasse alguma medida para assegurar que aquele cenário não continuasse.
Bloquear a porta 25.
Há anos, a Spamhaus vem recomendando aos ISPs que desabilitem a porta 25 em seus roteadores e firewalls. Isso não impede que os softwares de correio eletrônico funcionem normalmente; porém, evita que conexões abusivas sejam estabelecidas pela rede dos ISPs. Leia mais nas Perguntas frequentes [[https://www.spamhaus.org/faq/section/Hacked…%20Here%27s%20help#537]
Alguns anos atrás, a Spamhaus trabalhou com a Amazon, que estava lutando contra o abuso de sua rede e resolveu o problema bloqueando a porta 25.
Assim que a SoftLayer tomou essa medida, sua presença nas listas despencou, como ilustra o gráfico acima. Como esse ISP se tornou, de repente, o canal de operações preferencial para hospedar malspams, não podemos afirmar com total certeza. Contudo, suspeitamos que isso aconteceu porque relaxaram nos processos de averiguação (na maioria dos casos, é esse o motivo que leva a registros fraudulentos). Talvez a SoftLayer estivesse apostando no crescimento rápido no mercado brasileiro.
Infelizmente, não nesse caso. Ainda que a SoftLayer não tenha passado por outras crises de listagem, a operação em questão se mantém viva e atuante e continua a infernizar os usuários brasileiros.
Mesmo que suas atividades apresentem altos e baixos — o que é geralmente o caso dos agentes mal-intencionados —, seu modus operandi se mantém constante, trabalhando com cavalos de troia bancários combinados com táticas de phishing para atingir os bancos brasileiros.
Normalmente, a operação é enviada a partir de IPs dedicados usando domínios dedicados e descartáveis como nomes de host. Recentemente, observamos algumas campanhas que utilizam nomes de host em recursos DNS dinâmicos — tomemos como exemplo o DynDNS.
Esse malware opera com prudência para assegurar que o DNS reverso (rDNS) corresponda ao nome de host que utiliza para o envio. No caso dos recursos DynDNS, a resolução do DNS direto para o nome de host em si dura apenas o tempo necessário para o envio da campanha: assim que o envio acaba, acaba também a existência do nome de host. Isso dificulta ainda mais a identificação dos recursos antes que o envio comece, fazendo com que as defesas contra esses operadores sejam meramente reativas.
Essa quadrilha de malware (como um todo) criou, com grande perícia, um conteúdo que parece legítimo, na forma de faturas, multas e até mesmo intimações de oficiais de justiça, no intuito de atiçar a curiosidade e a preocupação das vítimas com comunicados provocativos que as façam abrir o documento. Essas táticas tornam excepcionalmente difícil para as pessoas que não são peritas em cibernética diferenciarem esse conteúdo do conteúdo real.
Entretanto, o impacto financeiro do cavalo de troia bancário pode levar a vítima à ruína. Na pior das hipóteses, os cibercriminosos podem conseguir acesso completo à conta bancária da vítima e levar todo o seu dinheiro. Para a maioria dos bancos na Europa e nos Estados Unidos, se você for vítima de um cavalo de troia, a responsabilidade é sua, e o banco não lhe dará nenhum suporte.
Infelizmente, as atividades desse organismo de malware não dão sinais de enfraquecimento.
Aplicado no nível de DNS da sua infraestrutura, esses feeds de ameaças impedem automaticamente os usuários de acessar sites maliciosos, incluindo sites de phishing e instaladores de malware.
Esses feeds de ameaças podem ser integrados aos servidores DNS recursivos existentes ou, se você não gerencia seu próprio DNS, disponibilizamos um serviço gerenciado.