0
0
Uma combinação de ameaças cibernéticas emergentes e maduras voltadas para o consumidor pode aumentar os muitos desafios que as equipes de segurança corporativa precisarão enfrentar em 2023.
Pesquisadores da Kaspersky, observando como o cenário de ameaças cibernéticas provavelmente evoluirá no próximo ano, esperam que os agentes de ameaças expandam o uso de muitas de suas táticas atuais enquanto exploram novos caminhos para ataques por meio de mídias sociais, serviços de streaming e plataformas de jogos online.
Para os administradores de empresas, a expansão das marcas para o mundo do metaverso (o mundo virtual teórico universal e imersivo da Internet, facilitado pelo uso da realidade virtual e das mídias sociais) pode abri-las para ataques. E na era do trabalho remoto e do BYOD (traga seu próprio dispositivo), qualquer ameaça ao consumidor é potencialmente uma ameaça corporativa, portanto, as equipes de segurança de TI fariam bem em seguir as tendências nesse espaço.
Ataques usando técnicas atuais irão crescer…
O fornecedor de segurança, por exemplo, espera que os cibercriminosos continuem a aproveitar o aumento pós-pandemia no interesse do consumidor em relação aos serviços de streaming online para tentar distribuir malware, roubar dados e executar outras atividades maliciosas.
Muitos dos ataques visam indivíduos que procuram fontes alternativas para baixar um aplicativo de streaming legítimo ou um episódio específico de um programa. Espere ver os cibercriminosos usarem títulos amplamente esperados e nomes de provedores de serviços de streaming, como Netflix, Hulu e Amazon Prime Video, como iscas para fazer os usuários baixarem malware ou direcioná-los para sites de phishing, de acordo com a Kaspersky.
Os consumidores também enfrentarão mais fraudes e golpes de assinatura de jogos que envolvem moedas e artefatos online. Os invasores visam principalmente os jogos que usam moedas e permitem a venda de itens e reforços no jogo, porque oferecem aos invasores uma maneira de processar o dinheiro obtido de outras atividades ilegais.
Em um relatório no início deste ano, Kount, um serviço de proteção contra fraudes de propriedade da Equifax, também identificou as moedas online como oferecendo uma infinidade de oportunidades para os adversários lavarem dinheiro e realizarem fraudes com cartões de pagamento. “Por exemplo, um fraudador cria uma conta gratuita para um jogo multijogador online e usa cartões de crédito roubados para encher a conta com a moeda do jogo e skins”, observaram os pesquisadores da Kount, acrescentando: “Depois que a conta é carregada, o fraudador vende em um site comercial”, por algo entre várias centenas a vários milhares de dólares.
A Kaspersky espera que os invasores também tentem explorar uma escassez contínua na disponibilidade de consoles de jogos populares por meio de ofertas falsas de pré-venda, bem como brindes e descontos fraudulentos de lojas online que pretendem vender consoles difíceis de encontrar.
…Mesmo quando os agentes de ameaças exploram novas avenidas de ataque
Enquanto isso, o metaverso, as plataformas de educação online e certas categorias de aplicativos relacionados à saúde se tornarão novos caminhos para ataques em 2023, disse Kaspersky.
A privacidade emergirá como uma grande preocupação no metaverso, previu Kaspersky. “Como a experiência do metaverso é universal e não obedece às leis regionais de proteção de dados, como o GDPR, isso pode criar conflitos complexos entre os requisitos dos regulamentos relativos à notificação de violação de dados”, disse Kaspersky.
Outros também expressaram preocupação com o aumento da quantidade de informações pessoais que serão coletadas em ambientes totalmente imersivos por meio de headsets de realidade virtual e sua coleção de câmeras, microfones e rastreadores de movimento. Muitos esperam que os dados revelem muito sobre a localização, aparência e outras informações privadas de um usuário, além de permitir que os invasores realizem golpes de phishing e engenharia social mais sofisticados.
Pelo menos alguns dos ataques em ambientes de realidade virtual e realidade aumentada envolverão abuso virtual e agressão sexual – como os casos de estupro de avatar, disse Kaspersky.
O fornecedor de segurança apontou para um incidente em que um avatar associado a um pesquisador de um grupo de defesa sem fins lucrativos foi estuprado em uma plataforma metaversa de propriedade da Meta como um exemplo do tipo de problema que os consumidores podem enfrentar cada vez mais.
Apesar dos esforços das empresas de tecnologia para criar mecanismos de proteção nos metaversos, “o abuso virtual e a agressão sexual se espalharão pelos metaversos”, disse Kaspersky. “Como não há regulamentação específica ou regras de moderação, essa tendência assustadora provavelmente nos seguirá até 2023”.
“O metaverso representa uma área onde as ameaças ao consumidor serão diferentesdos anos anteriores”, diz Anna Larkina, especialista em segurança da Kaspersky. “Aplicativos falsos e maliciosos de realidade virtual e realidade aumentada, bem como riscos de privacidade e possíveis abusos associados a essa nova fronteira, serão responsáveis por ameaças que não necessariamente vimos antes”, diz ela.
Certos tipos de aplicativos – como aqueles relacionados à meditação ou aqueles em que um consumidor pode dar uma dica de seu estado emocional atual – podem se tornar outra nova via de ataque, diz Larkina.
“É fácil imaginar uma variedade de aplicações para meditação, nas quais você indica seu estado/emoções atuais e eles selecionam o curso apropriado para você”, explica ela. “Tais dados podem ser facilmente coletados e armazenados para rastrear o estado do usuário e oferecer-lhes práticas de meditação adequadas”. Um invasor que obtém acesso a esses dados pode executar golpes bem-sucedidos de spear phishing e engenharia social de maneira altamente direcionada, observa ela.
Os ataques direcionados aos consumidores devem ser importantes para as equipes de segurança corporativa porque os ataques às empresas geralmente envolvem o fator humano, diz Larkina. “Se o sistema for tecnicamente seguro o suficiente, você pode entrar no sistema ‘hackeando’ os funcionários da empresa.”
FONTE: DARK READING