Targeted Cyber Attack (TCA) ou Ataque Cibernético Direcionado é uma ação focada em uma pessoa ou empresa com a intenção de roubar informações ou dinheiro por um longo período. Enquanto um ataque cibernético comum tem por objetivo atingir o maior público possível, o TCA direciona seus esforços para uma vítima apenas, procurando manter-se anônimo enquanto captura informações.
Muitas organizações acreditam que ciberataques nunca ocorrerão em sua estrutura, ou, se acontecerem, será apenas em um futuro distante. Pensam que o risco é próprio do negócio e acham muito caro os custos de prevenção.
Em geral, os pensamentos são: “isso nunca acontecerá conosco”, “não temos nada para esconder”, “somos muito pequenos para sermos alvo”, “existem empresas maiores e com mais atrativos” ou “temos investido em sistemas de firewall e antivírus que irão nos proteger”. Ignorar o risco não é a melhor decisão. É importante para a empresa conhecer as ameaças, avaliar a situação e implementar medidas preventivas, pois “pior que enfrentar uma ameaça é não estar preparado para ela”. Segundo a CyberEdge, seguradora para riscos cibernéticos, as organizações são cada vez mais atacadas. 89% das companhias nacionais relataram que foram comprometidas no último ano. Embora os brasileiros tenham sido as maiores vítimas no período, quem mais está preocupado com ameaças no futuro são os japoneses, com 78%.
Para se proteger, é importante conhecer o inimigo e o TCA é de difícil identificação. Suas características são: investir em permanecer “invisível” enquanto obtém o máximo de informações possível, ser avesso à publicidade e à exposição na mídia, ter um alvo específico e investir tempo na coleta de dados e preparação do ataque. Além disso, conta com um processo organizacional que envolve engenharia social; infiltrar-se na rede e roubar informações de seus servidores e banco de dados; realizar grande volume de transferência de dados ao longo do tempo, com baixa quantidade para não ser notado; e ter escopo restrito, o que leva os filtros baseados exclusivamente em reputação a não serem muito efetivos.
Normalmente, um TCA bem-sucedido só é descoberto meses ou anos depois do seu início. Durante esse tempo, obtém milhões de registros ou desvia valores sem ser notado. Dessa forma, sua identificação demanda conhecimento, planejamento, prevenção e monitoramento.
Vale ressaltar que o TCA difere do Hacktivismo em seu objetivo e resultado final. O TCA se preocupa em não ser percebido enquanto rouba as informações e valores de suas vítimas. Já o Hacktivismo quer denegrir a imagem e causar prejuízo aos usuários enquanto defende sua causa.
Técnicas variadas para atingir o objetivo
Uma variedade de técnicas e ferramentas são utilizadas para atingir objetivo do ataque. De forma geral, essas técnicas podem ser classificadas em diretas (que exploram as vulnerabilidades da rede e do sistema) ou indiretas (que utilizam diversas estratégias até que cheguem ao objetivo final).
Entre os vetores indiretos, o mais utilizado e eficaz é a engenharia social, que usa a manipulação psicológica, explorando a confiança, o desconhecimento e a curiosidade no uso de recursos tecnológicos. Outra ação indireta muito adotada é o phishing e-mail, que tenta enganar o usuário com anexos e URLs maliciosas. Esse ataque nem sempre é de fácil detecção porque, em um TCA, o invasor já possui informações sobre a vítima e as utiliza de forma criativa, explorando interesses pessoais.
Outro vetor é o spear phishing, como é chamado o envio de anexos contaminados por códigos maliciosos. É comum que os usuários abram os arquivos porque os e-mails utilizam temas familiares. Para burlar o sistema de filtragem e antivírus, no spear phishing, os invasores substituem os anexos por URLs de sites infectados – ataque conhecido como “drive-by download”. Segundo a PhishLabs, empresa de segurança com sede nos Estados Unidos, 91% dos TCAs usam spear phishing e-mails.
Também pode ser utilizado o advanced malware, sofisticado código malicioso que executa operações de forma furtiva nas redes e sistemas e é fundamental para o sucesso do ataque e permanência do modo “invisível” no ambiente.
Já os chamados RATs (Remote Access Toolkits) são ferramentas e códigos maliciosos desenvolvidos para atacar vulnerabilidades em ambientes desatualizados.
O waterhole attack consiste na infecção dos usuários de Internet por meio de sites legítimos comprometidos com códigos maliciosos. Em um TCA, o invasor identifica os sites normalmente acessados, encontra uma forma de infectar essas páginas e espera até que as vítimas caiam na armadilha.
O TCA também se aproveita de que muitos funcionários possuem dispositivos superiores aos ofertados pela companhia e acabam usando seus próprios equipamentos no local de trabalho. O uso de aparelhos pessoais traz riscos porque eles não possuem o mesmo nível de proteção dos equipamentos corporativos. Cientes disso, os atacantes implantam códigos maliciosos que serão ativados quando esses equipamentos pessoais são usados externamente, em redes menos protegidas como as residenciais ou de uso compartilhado.
Estratégia para solução
Não existe uma solução única eficaz para proteção do ambiente em relação ao TCA. Assim, deve ser realizada a criação de uma estratégia de prevenção, detecção, análise e mitigação. Para prevenir o ataque, é necessário realizar treinamentos de identificação de ameaças com os usuários, ter uma proteção avançada para e-mails com detecção de malwares enviados em anexos, verificação em tempo real de URLs infectadas e manutenção e atualização constante dos sistemas e equipamentos, além de configuração e testes contínuos das ferramentas de proteção utilizadas.
A fase de detecção tem como foco o monitoramento do ambiente e identificação do ataque no menor tempo possível. Ter indicadores claros de comportamentos incomuns é fundamental para a percepção precoce de um TCA. Assim que uma ofensiva é identificada, o primeiro passo é constatar a fase em que está para tomar medidas de contenção, determinando rapidamente o ambiente comprometido para conter imediatamente o vazamento.
O trabalho para quantificação do prejuízo causado e dos dados roubados é necessário para que a empresa estabeleça estratégias de mitigação das perdas diretas e indiretas relacionadas à marca e aos clientes afetados. É importante reavaliar todo o ambiente para implementar melhorias definitivas que impeçam novos ataques.
Para evitar novos ataques, as soluções de Advanced e-mail Gateway Protection com funcionalidades de DLP e Targeted Attack Protection estão entre as mais efetivas porque a ofensiva indireta, por mensagem, é uma das mais comuns.
Embora pouco se comente ou revele, o TCA é, na verdade, realizado por organizações criminosas cada vez mais especializadas. Companhias do mundo todo têm sofrido com ataques direcionados para espionagem e roubo de informações com o objetivo de extorquir dinheiro ou benefícios. O desvio de valores diretamente, embora não seja a meta mais comum, também figura entre as principais preocupações de uma ofensiva desse tipo.
Ignorar o risco de ser alvo de um TCA é desconsiderar o real valor do conhecimento e dos segredos industriais que sustentam o crescimento e o diferencial competitivo das empresas. Dessa forma, embora o combate seja complexo, devemos estudar e estruturar planos que mitiguem as ameaças institucionais. Por meio de análises de risco criteriosas, podemos direcionar os investimentos e tomar decisões acertadas. Conscientizar o conselho executivo dessa necessidade e definir as ações para a redução ou aceitação desse risco também são essenciais para uma boa gestão de Segurança da Informação alinhada aos objetivos de negócios.
* Kleber Melo é presidente do Conselho Consultivo do (ISC)² para América Latina