Diversificação do phishing cresceu a partir da Engenharia social, alertam especialistas

Conforme o método ganhou tração entre os cibercriminosos, foi interessante a eles ampliar os métodos de phishing para além dos e-mails, utilizando ainda ligações por voz e mensagens de texto. No entanto, a engenharia social segue como o ponto focal dessa operação

Compartilhar:

Adversários utilizam engenharia social há algum tempo para enganar suas vítimas e fazê-las repassar acessos ou informações indisponíveis ao público. A engenharia social continua se provando efetiva e deve ser um grande fator em possíveis vazamentos em 2024. Segundo o time de Resposta a Incidentes da CrowdStrike, Phishing, voice phishing (vishing) e SMS phishing (smishing) estão entre as técnicas de engenharia social que se tornaram mais prevalentes no ano passado, e vários agentes dessas ameaças encontraram sucesso usando esses métodos, mirando em grandes organizações com programas de segurança maduros.

 

Os adversários de hoje estão constantemente desenvolvendo novos meios para tornar suas campanhas de engenharia social mais sutis e eficazes, como provado por seus métodos mais recentes detalhados no Relatório de Ameaças Globais de 2024 da companhia. À medida que a engenharia social continua a evoluir e representar uma ameaça significativa, é essencial que as equipes de segurança de todos os níveis de maturidade se preparem para se defender contra esses métodos.

 

Engenharia Social, na Prática

Seu serviço de suporte de TI recebe uma ligação angustiada de um “funcionário” que não consegue fazer login nos sistemas de trabalho. Após uma tentativa de solução inicial sem sucesso, o “funcionário” exerce pressão sobre o analista do help desk, criando urgência em torno da situação: “Você não pode simplesmente redefinir minha senha? Tenho prazo para entregar uma tarefa e isso está me atrasando.” A política de muitas organizações seria fazer perguntas de segurança e verificar com o gerente do solicitante para redefinir a senha, mas, neste caso, o analista do Help Desk é persuadido a redefinir a senha sem a aprovação do gerente.

 

Cerca de uma hora depois, começam a chegar chamadas ao help desk de usuários relatando que não conseguem acessar recursos na rede. Naquele momento, fica claro para o setor de TI e InfoSec que um ataque de ransomware está em andamento. Durante a resposta ao incidente, é descoberto que o usuário que solicitou a redefinição da senha não era o usuário legítimo, mas um threat actor (agente de ameaças) se passando por ele. O agente aproveitou esse acesso à rede obtido ilicitamente para implantar ransomware e comprometer a rede.

 

Este cenário é um dos muitos exemplos de engenharia social. A equipe de Resposta a Incidentes da CrowdStrike tem observado um aumento alarmante nas tentativas de engenharia social para obter acesso a sistemas de TI sensíveis e contas privilegiadas, reduzindo o tempo e o esforço necessários para violar uma organização. Espera-se que as equipes de segurança tomem precauções contra métodos de infiltração, como os descritos no cenário acima.

 

Por que é eficaz?

Vários aspectos da engenharia social a tornam atrativa para adversários. Um agente de ameaças que tenta exploração técnica pode encontrar barreiras em portais de autenticação, firewalls e outros obstáculos técnicos, mas a engenharia social pode usar emoção, urgência e pretexto como alavancas para persuadir alguém a fornecer suas credenciais de acesso. A engenharia social se aproveita do aspecto humano para burlar os processos de segurança em vigor em uma organização.

 

Se um adversário for bem-sucedido em engenharia social para conceder acesso a um ambiente, o resultado pode ser altamente lucrativo. Como o acesso concedido foi dado a um “funcionário”, parece legítimo e não chama atenção e nem aciona detecções iniciais. Isso dá ao agente de ameaças tempo para realizar reconhecimento do ambiente, coletar informações sensíveis e, em alguns casos, monitorar canais de bate-papo para determinar se a atividade foi detectada.

 

Uma vez que um adversário consegue se infiltrar via engenharia social, eles podem ter acesso privilegiado a contas de nível administrativo, permitindo que se espalhem rapidamente para capturar dados sensíveis e implantar ransomware que pode interromper o fluxo de negócios. Ter credenciais privilegiadas legítimas reduz a probabilidade de detecção, dando ao adversário tempo adicional para comprometer completamente a empresa.

 

Phishing

O phishing é o uso fraudulento de e-mails para coletar informações, capturar credenciais ou implantar malware em um sistema. Ataques de agentes de ameaças estatais, como o HELIX KITTEN, têm sido flagrados usando campanhas de spear-phishing, o que significa que eles visam contas específicas de usuários e às vezes privilegiadas, com e-mails contendo vírus maliciosos em documentos em anexo.

 

Muitas vezes, em vez de um anexo, um link é fornecido para um portal de autenticação aparentemente legítimo para o Microsoft 365 ou o Okta, juntamente com um chamado “urgente”, como “atividade recente suspeita” dentro da conta ou expiração da senha. O falso portal de login captura quaisquer credenciais inseridas e pode então ser usado pelo adversário para acessar a conta alvo. Algumas plataformas, como evilginx e modlishka, oferecem aos agentes de ameaças a capacidade de contornar mecanismos de autenticação de dois fatores.

 

Vishing

Vishing é o uso manipulador da comunicação por voz para coagir um alvo a conceder acesso a sistemas ou informações. Nos últimos meses, agentes de ameaças como SCATTERED SPIDER têm atacado help desks a fim de acionar redefinições de senha e trocas de autenticação multifator (MFA) para contas de usuários específicas. Isso concede ao agente (ou ator de ameaças) acesso autenticado à rede alvo.

 

O vishing depende fortemente de atuação, reconhecimento e pesquisa extensiva antes da ligação. Por exemplo, um ator de ameaças pode criar uma lista de alvos em potencial procurando no LinkedIn pelos funcionários de uma empresa. A partir daí, eles podem examinar cada perfil para ver qual deles fornece mais informações voluntariamente e depois ir para outros sites de redes sociais para coletar informações adicionais sobre o trabalho da pessoa, tempo de permanência na empresa, endereço e possíveis respostas a perguntas de segurança.

 

O reconhecimento também envolve familiarizar-se com os sistemas que uma empresa está usando ou como seu help desk opera. O ator de ameaças pode ligar para o help desk se passando por uma pessoa diferente para ver quais perguntas são feitas para confirmação de identidade, ou examinar as listagens de empregos na organização para aprender sobre o software e a infraestrutura que ela usa.

 

Um elemento-chave do vishing é a entrega. Se os processos de segurança forem fracos e o adversário tiver informações suficientes para convencer o assistente do help desk de que a ligação é autêntica, simples gentilezas podem ser suficientes. No entanto, às vezes, a emoção e a manipulação também são usadas para tentar convencer a pessoa do outro lado da linha de que eles devem se desviar do procedimento padrão para ajudar o funcionário. Exemplos incluem chorar, intimidar ou fingir dificuldade com tecnologia.

 

Smishing

O smishing é o uso enganoso do serviço de Mensagem de Texto (SMS) para manipular um alvo e obter informações ou acesso a um sistema ou conta. Dependendo do objetivo, o smishing pode visar um amplo grupo de pessoas ou indivíduos específicos. A própria mensagem às vezes pode solicitar informações pessoalmente identificáveis (PII) do alvo ou tentar convencê-lo a clicar em um link fornecido.

 

No contexto de comprometimento organizacional, o smishing pode assumir diversas formas. Se o número de telefone alvo estiver associado a um dispositivo empresarial, o acesso sensível e as informações no dispositivo estarão em risco se o usuário clicar em um link malicioso. Independente do dispositivo, o ator malicioso pode estar mirando um usuário específico para coletar informações que posteriormente possam ser utilizadas para responder a perguntas de segurança em outra fase do ataque de engenharia social.

 

Proteção contra a Engenharia Social

Engenharia Social, quando feita de forma eficaz, pode facilitar os esforços de um adversário para se movimentar pelo ambiente de sua vítima sem ser notado. Algumas sugestões para proteger sua organização contra técnicas comuns de engenharia social são usar perguntas de segurança que não sejam facilmente pesquisáveis; aplicar MFA; implementar múltiplas verificações para redefinir senhas; treinar adequadamente a equipe de help desk; manter os funcionários alertados sobre possíveis ameaças; e listar permissões para instalar software nos sistemas

 

O usuário deve ser solicitado a fornecer informações que não possam ser facilmente encontradas em pesquisas de código aberto, como um número de identificação de ativo para sua estação de trabalho. Além disso, todos os funcionários devem contar com autenticações multifator para acessar recursos organizacionais. Isso adiciona outra camada de segurança no caso de uma senha ser comprometida.

 

Criar várias camadas de segurança no processo de redefinição de senha também é um recurso eficiente. Por exemplo, exijir perguntas de segurança e aprovação do gerente ou aceitação de uma notificação push. Para isso, os associados do help desk deve ser devidamente informado sobre os processos de segurança em vigor e os riscos associados a não aderir a eles. Se a organização tomar conhecimento de alguma campanha de engenharia social direcionada a seus funcionários, ela deve notificá-los imediatamente e fornecer maneiras para que eles relatem atividades suspeitas.

 

O que pode ser instalado nos sistemas organizacionais também deve ser limitado. Ao escolher explicitamente os softwares permitidos, a organização está implicitamente negando a instalação e execução de todo software que não estiver nessa lista. Isso pode prevenir a instalação e uso de softwares aparentemente inofensivos que podem ser aproveitados para atividades maliciosas, como ferramentas de monitoramento e gerenciamento remoto.

 

Conteúdos Relacionados

Security Report | Overview

Quais foram os impactos da Ciberguerra nas eleições dos EUA?

47ª eleição presidencial americana expõe os riscos envolvendo ataques DDoS que todos os países correm
Security Report | Overview

Player encontra novas técnicas de ataque contra Policy e Infrastructure as a Code

Security Report | Overview

Resposta a fraudes depende da cooperação entre bancos e varejo, sugere pesquisa

A adoção de ferramentas de IA para proliferar phishing, deepfakes e outros golpes está corroendo a confiança do consumidor nos...
Security Report | Overview

Pesquisa aponta uso de CAPTCHAs falsos para roubar dados de brasileiros

ISH Tecnologia traz detalhes da campanha que, executada, dá acesso irrestrito às máquinas das vítimas