Cybersecurity awareness: os tipos mais comuns de ciberataques

por | setembro 2022 | Blog | 0 Comentários

Cybersecurity Awareness é uma expressão que provavelmente chateia as pessoas só de ouvirem. Idealmente, todos deveriam saber sobre essas coisas, mas esse não é o caso. Esse notório termo geralmente acaba significando assistir vários vídeos sem sequer entender muito sobre o assunto. Isso também vale para phishing,

De fato, eles realmente podem significar algo negativo, caso os usuários passem a adotar atitudes como enviar cada um de seus e-mails para a equipe de cibersegurança analisar antes de abri-los ou respondê-los, saturando os times de TI e causando lentidão nas operações.

Claro que a engenharia social é algo extremamente difícil de decifrar e controlar, especialmente devido à dificuldade de defesa apropriada deles (sem mencionar que praticamente não existe solução real para detectar um e-mail fraudulento de uma caixa interna comprometida), sendo o cerne de toda a questão. Esse é o cerne de toda a questão e é por isso que ela exige um balanço.

Educar os usuários é uma, se não a mais importante, coisa a se fazer, mas também é importante entender o contexto e suas respostas quando se acontece uma campanha de phishing. Geralmente existe uma razão por trás de cada má ação executada por um usuário, e o ideal é que os entendam e porque eles fazem tal coisa.

Cyber awareness é primordial, porém se ela vai ser trabalhada cegamente, sem pesquisas de contexto, vídeos aleatórios e campanhas sobre phishing (que são avaliadas somente pela forma em que elas impressionaram o gerente), é melhor não realizar nada.

Com isso em mente, é possível discorrer mais sobre quais os tipos de ataques mais comuns que uma empresa pode enfrentar, independente de seu tamanho ou maturidade.

Ataques comuns

Engenharia Social

A engenharia Social, às vezes conhecida como People Hacking, é um termo que é usado para descrever um ciberataque que tem como alvo um humano, ao invés de uma máquina ou componente eletrônico. Afinal, qual a necessidade de forçar e desgastar a CPU e a GPU quando se pode pedir gentilmente, certo?

Piadas à parte, esse tipo de ataque pode ser bem complexo e muito devastador para a vítima. Eles são geralmente feitos em camadas e podem escalar bastante. Imagine um atacante tirando vantagem da sua informação pública disponível para obter mais informações em seu celular, e-mail ou ISP.

Com esses passos, esses criminosos podem escalar rapidamente para algo a mais, como sua conta bancária, por exemplo.

O tópico sobre engenharia social é muito extenso. Ela não necessita de interação humana, como muitos podem imaginar. Os exemplos mais famosos são os “USBs” perdidos, que os criminosos deixam nos estacionamentos, esperando a chance de que eles sejam conectados em algum computador pertencente à empresa. Ou, de forma parecida com os USBs perdidos, os cabos de carregamento conectados em locais públicos, com ferramentas (como um keylogger) para ajudar o invasor a obter controle dos dispositivos que se conectem.  

Engenharia social: phishing

O phishing é, como todos já sabem, a forma mais comum de ataque, usado por muitos tipos de autores de ameaças, de scammers até os mais avançados agentes. Geralmente, esse é o estágio 0 para um ataque. Esse vetor é utilizado para ganhar acesso à infraestrutura de uma organização, escalação de privilégios, descarregamento de cargas úteis ou qualquer outra coisa.

Esse tipo de ataque é categorizado como um subgrupo da classe de ataques de engenharia social, e, como o nome implica, é direcionado para humanos ao invés de computadores.

Quando falamos em phishing, falamos principalmente de e-mails, porém o phishing pode ser feito por meio de ligações, vídeos — conhecidos como Vishing ou por meio de SMS — conhecidos como Smishing.

Esses são particularmente perigosos, pois os autores podem utilizar essas táticas em grande escala, geralmente se aproveitando de números de telefone e/ou e-mails vazados/roubados. Esses ataques sempre tentam fazer com que a vítima aja rapidamente, sempre incitando urgência, chamando para ação, basicamente qualquer coisa que faça agir rápido, sem muita contemplação.

Existem também três formas principais de visualizar o phishing:

Spear Phishing – Mais direcionado do que o phishing padrão/geral, mira indivíduos ou grupos. Essas campanhas geralmente são mais elaboradas do que mensagens de e-mail e sites maliciosos já que são criadas com a ideia de atingir um grupo específico, muitas vezes, como parte de uma campanha maior contra esse grupo.

Whaling – Ainda mais direcionado que o spear phishing, “whaling” se refere a direcionar o ataque a indivíduos de alto valor — como executivos nível C, por exemplo. Essas mensagens tendem a ser mais sofisticadas também, portanto, mais difíceis de serem notadas.

Phishing — Não existe componente pessoal/individual. Esses ataques são geralmente feitos em larga escala, de forma simples e geralmente são bem mais fáceis de notar, já que as mensagens não são tão cuidadosamente criadas, enquanto os sites maliciosos geralmente contêm red flags óbvias que dão sinais claros para sair dali.

Individualmente, é possível se deparar com ataque de phishing geral, mas se você trabalha em um nível alto de uma empresa grande que é um alvo interessante, seu e-mail pode ser de interesse particular para esses agentes de ameaças, te tornando um alvo primário para esses ataques mais sofisticados como o spear phishing e o whaling.

Recapitulando as boas práticas

Mesmo sendo um assunto já extensivamente falado, conscientização nunca é demais quando falamos de phishing, por isso, seguem algumas recomendações:

  • E-mail inconfiável? Dele sem abrir, ou melhor, mandar ao time de Cybersec da empresa. Também é possível relatar o spam para o provedor de e-mail;
  • Nunca abrir anexos de fontes não confiáveis. Mesmo se o contato for legítimo, se o conteúdo do e-mail ou mensagem não for esperado, evite;
  • Não clique em nada incorporado no e-mail, se possível, vá até esse site por meio do navegador (sem clicar através do e-mail) e tente ver o conteúdo lá;
  •  Cheque sempre por erros de ortografia nos nomes dos domínios;
  • Tente não publicar informações pessoais. Se necessário, crie outro e-mail ou até mesmo faça endereço de e-mails “gravadores” que serão usados para uma finalidade específica e depois serão descartados.

É importante lembrar também que qualquer um pode ser vítima de phishing. Se isso acontecer, é crucial mudar qualquer senha ligada àquela brecha (se possuir múltiplos lugares utilizando da mesma senha, mude todas as instâncias que utilizam desse password comprometido). Relate ao time de TI/Cybersec se isso acontecer em um e-mail do trabalho.  

Malware

Não importa se as soluções AVs estão ficando cada vez melhores, escaneando grandes bancos de dados que coletam assinaturas maliciosas, eles ainda continuam sendo uma grande ameaça e estão sempre sendo trabalhados e desenvolvidos.

Malware ou software malicioso é qualquer peça de software que foi desenvolvida com o intuito de realizar ações maliciosas ao sistema. Existem vários tipos de malwares, mas vamos focar em um tipo de malware infame que vem sendo muito falado nos últimos anos: o ransomware.

Ransomware

O Ransomware é um tipo especial de malware, usado para infectar sistemas enquanto criptografa os dados, para que sejam mantidos como “refém” para um futuro resgate. Daí seu nome ransomware. Na teoria, se a vítima pagar o resgate, os dados são devolvidos aos seus donos. Entretanto, a maioria dos experts de segurança vão aconselhar a não pagar o resgate, e ao invés disso, ter políticas de DLP e bons backups para que se possa recuperar desse ataque.

Mesmo que os dados retornem, não há garantia de que eles não serão vazados antes. O pagamento geralmente é feito em criptomoedas (como bitcoin).

O Ransomware se espalha ao explorar as vulnerabilidades em softwares (como MS Office, Windows etc.), de maneira rápida. A ideia é infectar o maior número possível de sistemas, para que fiquem inacessíveis, e depois pedir o resgate — os atacantes então teoricamente entregariam a chave para descriptografar os dados.

Geralmente há uma janela que mostra a mensagem com as condições, uma vez que o malware consiga completar a criptografia com sucesso.

Maneiras para se proteger

Geralmente, a melhor forma é combinar uma ampla conscientização com sistemas sempre atualizados e com patches de correção em dia. Isso é especialmente importante para sistemas operacionais. Seguem as melhores formas de se proteger:

  • Manter os SOs e outros softwares sempre atualizados;
  • Não abrir emails maliciosos e não clicar em links suspeitos. Não abrir anexos. Similar as boas práticas relacionadas ao phishing;
  • Realizar backup dos dados importantes e guardá-los em algum lugar seguro fora de alcance;
  • Manter a solução AV atualizada;
  •  Nunca conectar USBs e outras mídias (incluindo cabos), desconhecidos em computadores que você se importa e que são importantes.

Por último: não pague o resgate! Ao invés disso, possua uma estratégia bem definida para caso isso aconteça e contate as autoridades. Tente conter a infecção também, ao descontar suas ferramentas da rede se e quando necessário. De toda forma, mantenha em mente que você não deve desligar o dispositivo infectado, pois esse tiro pode sair pela culatra, te deixando sem opções para descriptografar os dados sem pagar o resgate.

Conclusão

Existe muito mais que os agentes de ameaças podem utilizar, e existem outros tipos de malware mundo afora. É preciso ter em mente que não precisa ser um expert em tecnologia ou da área de Infosec para se manter seguro online. Bons hábitos são coisas que qualquer um pode fazer e que com certeza é algo que vale a pena adotar.

Leia a matéria completa aqui e clique aqui para falar com o time M3Corp. 

Posts recentes