As operadoras de Telecomunicações brasileiras estão dando vazão a uma grande quantidade de tráfego contaminado. Dentro da lista das 10 operadoras de Telecom da América Latina que enviam arquivos infectados para o mundo e para outros países da região, há cinco players brasileiros, revela o levantamento “LATAM Security Threats 2019”, realizado pelo F5 Labs a partir de incidentes de segurança mapeados neste ano em toda a América Latina. Os nomes das operadoras não são revelados.
De acordo com o relatório, a participação das operadoras na disseminação dos malware é comprovada por meio da análise dos protocolos de comunicação encontrados nos malware examinados pelos especialistas do F5 Labs. Segundo eles, esse é um sinal de que algumas operadoras não conseguem filtrar o tráfego, nem fazer a mitigação das ameaças transmitidas por suas redes.
O levantamento aponta que o Brasil é o décimo primeiro país de onde mais se lançam ataques sobre todo o planeta; na América Latina, o Brasil é a principal fonte de ataques; em segundo lugar está o México e, em terceiro, a Venezuela.
Finanças, varejo, saúde e governo: ataques via injeção SQL e phishing
Em termos de verticais, o estudo mostra que o mercado financeiro está reagindo às ameaças digitais. Apenas 1,5% de invasões por meio de injeção de código SQL consegue atingir bancos, corretoras e seguradoras. “Isso mostra que as áreas de TI e de Segurança desse segmento estão atualizando seus sistemas de modo a impedir violações por meio de acessos a formulários disponíveis via Web”. Em relação a ataques que dependem de fraudes realizadas via e-mail – como phishing – o quadro é outro. 66,91% desse setor sofre com esse tipo de fraude.
No segmento do varejo, ao contrário, 71,88% dos ataques são baseados em injeção de código SQL por meio do preenchimento de formulários nos sistemas de e-commerce. Em um formulário, por exemplo, onde o cliente deveria colocar seu nome, um bot (aplicação autônoma com um comando pré-determinado) ou um criminoso digital irá inserir um código malicioso. Nesse universo, 15,73% das violações acontece por meio de e-mail/phishing.
Na vertical serviços de saúde, apenas 7,8% dos ataques se dão por meio de injeção de código SQL. 42,48% das violações acontecem por meio de usuários que, de forma desavisada, abrem e-mails contaminados e acessam páginas Web fraudulentas (phishing). E no governo, finalmente, ataques por meio de injeção via código SQL representam 36,40% das violações. Invasões realizadas por meio de e-mail/phishing representam 22,70% do quadro.
“Fica claro que, dentro das empresas, há uma convivência entre ameaças com dois perfis diferentes: injeções por meio de código SQL e e-mail/phishing”, aponta Hilmar Becker, country manager da F5 Networks Brasil. O desafio das injeções SQL é vencido por meio da constante atualização dos sistemas, de modo a incorporar os patches lançados pela indústria para, justamente, evitar a violação via queries.
Conforme a complexidade do ambiente da empresa usuária, porém, o ato de atualizar os sistemas pode trazer novos desafios. “Quanto mais crítica a utilização da aplicação, mais importante será testar, num ambiente paralelo, o efeito do patching sobre esse sistema”, adiciona o executivo.
Os ataques baseados em e-mail e phishing, por outro lado, exigem ações de treinamento dos usuários finais. A pesquisa realizada pelo F5 Labs aponta que, nas empresas onde não acontece o treinamento do usuário sobre as armadilhas do phishing, até 33% do universo de colaboradores pode ser cooptado por esse tipo de ataque. Quem investe em ações de treinamento consegue baixar essa marca para 13% do seu universo de funcionários.
Links inseridos dentro de e-mails: ameaças escondidas
A pesquisa do F5 Labs ressalta, também, o crescimento do poder destruidor de links inseridos dentro dos e-mails de phishing. Houve um tempo em que a maior parte dos malwares vinham encapsulados dentro de arquivos anexados ao e-mail como PDFs ou extensões do Office.
“Identificar uma ameaça disfarçada como um arquivo legítimo é algo que soluções de tecnologia tradicionais, como um antivírus, conseguem fazer; o quadro muda de figura quando a ameaça está escondida no link copiado dentro do e-mail”, ensina Becker. “É necessário contar com um firewall corporativo configurado para bloquear a abertura desse link a partir de uma lista – atualizada 24×7 – de sites perigosos ou contaminados”.
E, por fim, os especialistas do F5 Labs mapearam as vulnerabilidades dos ambientes IoT (Internet das Coisas) do Brasil e da América Latina. “Novas variantes da BotNet Mirai – ameaça identificada originalmente em 2016 – seguem sendo lançadas em todo o mundo”, explica Becker. A região Sudeste do Brasil é um dos polos de organização e uso, para ataques criminosos, de BotNets baseadas em dispositivos IoT como câmeras de segurança, pequenos roteadores domésticos, decodificadores de TV a cabo.
Esses dispositivos não contam com recursos avançados de segurança. No momento de sua instalação em residências ou empresas, muitas vezes suas senhas – pré-configuradas de fábrica – não são alteradas. Esse quadro contribui para que a crescente base de dispositivos IoT em uso no Brasil siga sendo escravizada por hackers e utilizada, por exemplo, no disparo de ataques DDoS. O estudo está disponível gratuitamente no portal https://www.f5.com/labs.