Plataformas de phishing “as a service” tem se disseminado entre os atacantes visando alcançar meios de acesso aos ambientes protegidos com duplo fator de autenticação. No relatório “Human Factor”, especialistas da Proofpoint emitiram alerta sobre novas práticas de enfrentamento dos múltiplos fatores de autenticação
Por: Matheus Bracco
A Proofpoint apresentou desdobramentos das últimas informações divulgadas pelo relatório “Human Factor” no último mês de junho. Os executivos da companhia apontaram novos recursos de Phishing como serviço, cuja função é usar engenharia social para expor mesmo as autenticações multifator e viabilizar acessos criminosos em ambientes corporativos.
Uma das ferramentas que se tornou bastante disseminada entre os ciberatacantes é o EvilProxy, vendido em larga escala na Dark Web como um método sutil de by-pass contra os MFAs. Assim como outros recursos vendidos em pacotes, ele possibilita usuários com poucos conhecimentos técnicos a gerar incidentes contra organizações protegidas.
Muito além do ransomware
“Como tudo nesse meio pode virar um negócio, o cibercrime organizado é movido por meios financeiros, e os hackers passaram a criar essas soluções e vendê-las em busca de retorno. Isso forma uma indústria criminosa que está indo além do ransomware e começa a se especializar em phishing para roubos de credenciais”, comenta William Rodrigues, Senior Sales Engineer da Proofpoint.
O funcionamento do EvilProxy é simples: o atacante entrega por e-mail ou outro canal um phishing clássico ao usuário, incluindo um link de acesso para alguma página conhecida e atraente. Todavia, a sessão de login supostamente legítima é, na verdade, uma réplica oferecida pelo malware, para gerar segurança no momento de ceder o cadastro.
Depois de o indivíduo adicionar, tanto os dados comuns quanto os autenticadores multifator, como tokens ou linha fixa, o EvilProxy repassa os dados ao serviço de acesso verdadeiro e recolhe as credenciais do usuário, que é direcionado a outra página falsificada acusando um problema do sistema ou pedindo a confirmação de outras credenciais sensíveis, como dados bancários.
Rodrigues explica que o uso do EvilProxy e métodos similares começou a se expandir a partir de outubro de 2022. E desde janeiro deste ano, houve um enorme pico de disseminação, devido a facilidade em sua aquisição e aplicação. O by-pass no MFA tem gerado grandes problemas às corporações desde então.
Quebrando a cadeia do Cibercrime
Durante a apresentação do relatório Human Factor, também se buscou falar dos melhores métodos de enfrentamento proativo aos ataques, de forma a reduzir o poder de ação do crime cibernético organizado. Por se tratar de esquemas exploradores do fator humano, a conscientização é uma resposta chave à essa demanda.
“Uma credencial vazada pode comprometer toda a estrutura de cibersegurança. Independentemente de qualquer controle, um único acesso permite escalar de privilégios e alcançar níveis mais altos de credenciais. Assim, manter os usuários atentos e preparados para enfrentar essas situações pode ser o diferencial”, disse William Rodrigues.
“Mesmo assim, criar defesas robustas deve ficar no radar de todas as empresas”, complementa Marcelo Bezerra, Gerente de Engenharia da Proofpoint. “Mas, nesse caso, é importante ser muito criterioso na aplicação dos investimentos em Cyber, focando nos principais vetores de ataque, como proteção de e-mail, web e mensagens que explorem as pessoas. Apenas a união entre educação e tecnologia pode responder a esse desafio”, concluiu.
FONTE: SECURITY REPORT