0
0
Por Ray Canzanese
Durante o último ano, as táticas de engenharia social usadas em ataques cibernéticos evoluíram significativamente à medida que os atacantes manipulam a confiança inerente, preconceitos e vulnerabilidades do comportamento humano individual para obter acesso não autorizado a informações ou sistemas sensíveis.
Nosso relatório “Ano em Revisão” sobre Nuvem e Ameaças revelou que em 2023, a engenharia social foi a maneira mais comum pela qual os atacantes tiveram acesso inicial às organizações. Os ataques liderados por engenharia social colocam os funcionários de uma organização em um papel crucial, essencialmente manipulando-os para abrir a porta para o atacante passar. A engenharia social pode se manifestar na forma de links disfarçados (maliciosos, fingindo ser um link para um serviço ou sistema genuíno que o usuário acessa todos os dias, como o OneDrive), downloads sugeridos por mecanismos de busca confiáveis (os criminosos têm equipes sofisticadas de SEO) e, ultimamente, até mesmo ligações telefônicas falsificadas, fingindo ser de colegas pedindo ajuda para acessar algo.
A atração para os atacantes nesse método de acesso é que ele permite acesso a sistemas inerentemente seguros que normalmente são rapidamente corrigidos contra vulnerabilidades de segurança conhecidas e que fornecem acesso remoto limitado. Nossa pesquisa identificou duas das principais categorias de técnicas de engenharia social para segmentar funcionários – phishing e cavalos de Tróia.
Dados de phishing na nuvem
Phishing é a tática de disfarçar e-mails e mensagens online para enganar os usuários a clicar em links maliciosos para roubar credenciais ou outras informações sensíveis. Os dados da Netskope mostraram que os funcionários caíram em golpes de phishing três vezes mais frequentemente do que baixaram cavalos de Tróia. Em média, 29 em cada 10.000 funcionários clicaram em um link de phishing a cada mês em 2023, o que significa que uma empresa com 10 mil funcionários teve uma média de 348 funcionários clicando em links de phishing ao longo do ano.
Entre os aplicativos de nuvem direcionados por adversários em 2023, a suíte da Microsoft se destaca acima de todos os outros como o mais popular. Ataques através do OneDrive, SharePoint via Microsoft Teams e Outlook dominaram a lista de aplicativos direcionados para downloads de malware de phishing. Com sua popularidade entre as empresas, as credenciais de aplicativos da Microsoft são um alvo lucrativo para os atacantes, e os funcionários estão acostumados a confiar nos links dos aplicativos da Microsoft, clicando neles ao longo do dia de trabalho.
Também vimos sites como Amazon, eBay e a plataforma de jogos Steam sendo altamente visados ao longo do ano, enquanto os sites de órgãos governamentais, como a Receita Federal (IRS), foram falsificados para roubar informações financeiras.
O acesso a contas para outras atividades nefastas também é comum. Por exemplo, Netflix e Facebook foram as plataformas de streaming e mídia social mais populares visadas, onde detalhes da conta obtidos a partir de golpes de phishing podem ser vendidos na dark web. Dada a numerosas eleições em 2024 ao redor do mundo, os usuários do Facebook precisarão estar vigilantes contra tentativas de phishing projetadas para coletar contas a fim de espalhar desinformação.
Alguns atacantes atuam como intermediários de acesso inicial, vendendo as credenciais roubadas, informações bancárias e outros dados no mercado negro. Isso significa que o que parece um simples ataque de phishing, à primeira vista, poderia ser a primeira etapa em um ataque mais complexo. Existe um ecossistema sofisticado e empreendedor de cibercriminosos vendendo esse acesso para uso em cibercrimes, espionagem corporativa e ataques de ransomware, e a atividade desse crime organizado só crescerá à medida que os aplicativos de nuvem se incorporarem cada vez mais em nossas vidas diárias.
Cavalos de Tróia e SaaS baseado em nuvem
Cavalos de Tróia são um tipo de malware frequentemente disfarçado como um programa legítimo. Os usuários são enganados a baixar o código malicioso, o que por sua vez dá ao atacante acesso a um sistema. Aplicações de software como serviço (SaaS) baseadas em nuvem são particularmente atraentes, já que profissionais corporativos estão acostumados a clicar em links para esses serviços ao longo do dia de trabalho. A Netskope descobriu que os cavalos de Tróia são o segundo vetor de ataque mais comum, já que os funcionários baixaram em média 11 cavalos de Tróia por mês para cada 10.000 usuários, o que significa que uma organização típica desse tamanho teria uma média de 132 cavalos de Tróia baixados pelos usuários em sua rede por ano.
Assim como nos ataques de phishing, as aplicações da Microsoft se destacaram como hospedeiras para downloads de cavalos de Tróia. O OneDrive liderou as estatísticas, enquanto o SharePoint, alvo de ataques através do Microsoft Teams, ficou em segundo lugar.
Aplicativos SaaS que oferecem serviços de hospedagem de arquivos gratuitos são particularmente atraentes para atacantes conscientes dos custos. Isso inclui aplicativos de armazenamento em nuvem (Microsoft OneDrive, Google Drive, Azure Blob Storage, Amazon S3, Box, Dropbox, Google Cloud Storage), aplicativos de hospedagem na web gratuitos (Weebly, Squarespace), serviços de compartilhamento de arquivos gratuitos (DocPlayer, MediaFire, WeTransfer) e aplicativos de hospedagem de código-fonte gratuitos (GitHub, SourceForge). Como todos esses aplicativos oferecem hospedagem de arquivos de baixo custo ou sem custo, eu esperaria que eles e aplicativos similares continuem a ser abusados para entrega de malware e phishing no futuro previsível.
Mitigando a ameaça
Diante desses dois vetores de ataque mais comuns, as organizações podem mitigar a ameaça através de:
- Direcionar os funcionários para aplicativos com um propósito comercial legítimo: As equipes de segurança devem criar um processo de revisão e aprovação para novos aplicativos e implementar um processo de monitoramento contínuo que os alertará quando os aplicativos estiverem sendo mal utilizados ou tiverem sido comprometidos.
- Educar e aumentar a conscientização dos funcionários: Isso pode ser feito tanto através de treinamento anual quanto de treinamento em tempo real, ajudando a orientar os funcionários no momento antes de clicarem no link ou acessarem um aplicativo não autorizado.
- Usar ferramentas inteligentes: Junto com o treinamento em tempo real dos usuários, as equipes de segurança devem escanear rotineiramente o tráfego HTTP/HTTPS, enquanto também utilizam um corretor de segurança de acesso à nuvem (CASB), um gateway web seguro (SWG) e ferramentas de prevenção de perda de dados (DLP).
Embora seja impossível evitar que os funcionários cliquem em um link malicioso, implementando as etapas acima, as empresas podem percorrer um longo caminho no gerenciamento do risco.
Para saber mais sobre a pesquisa de Ameaças da Netskope na nuvem, como engenharia social, leia o “Relatório de Nuvem e Ameaças: Ano em Revisão de 2023″.
Esse artigo tem informações retiradas do blog da Netskope. A Neotel é parceira da Netskope e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.