0
0
Esta semana, veio à tona que a plataforma de jogos Roblox foi violada por meio de um ataque de phishing/engenharia social que levou ao roubo de documentos internos e ao vazamento deles online em uma tentativa de extorsão.
O hacker postou documentos em um fórum que pretende conter informações sobre alguns dos jogos e criadores mais populares do Roblox, de acordo com a Motherboard . Além disso, alguns dos documentos incluem informações de identificação pessoal dos indivíduos.
Mas o Roblox não está sozinho – é apenas o mais recente de uma longa linha de vítimas de phishing corporativo. O sucesso desses ataques mostra o quão eficazes os phishers se tornaram na manipulação de alvos de funcionários em várias empresas.
Nos últimos meses, o ciclo de notícias de segurança de TI foi dominado por relatos de ataques de phishing que exploram aplicativos confiáveis como e-mail, QuickBooks e Google Drive, para citar apenas alguns. Esta semana, uma pesquisa da Avanan mostra que os hackers encontraram uma nova maneira de entrar na caixa de entrada criando faturas falsas no PayPal, aproveitando a legitimidade do site para obter acesso.
O abuso de serviços legítimos é um fator-chave na última onda de ataques de phishing, que usam táticas de engenharia social para atrair as vítimas a fornecer informações como credenciais de login. O SlashNext Threat Labs relatou um aumento de 57% nos ataques de phishing de serviços confiáveis entre o quarto trimestre de 2021 e os primeiros meses de 2022.
Em junho, os clientes do Microsoft 365 e do Outlook foram alvo de e-mails com tema de correio de voz como iscas de phishing, enquanto os usuários do QuickBooks foram vítimas de campanhas consecutivas em junho e julho, incluindo um golpe de vishing direcionado a pequenas empresas. E, de fato, as preocupações com ataques de phishing multicanal estão crescendo , com um foco particular em smishing e comprometimentos de texto comercial.
Enquanto isso, a colaboração na nuvem e o uso de ferramentas como Zoom e Microsoft Teams explodiram nos últimos dois anos desde o início da pandemia e se tornaram procedimentos operacionais padrão para trabalhadores remotos. Os invasores viram essa tendência e a capitalizaram.
Iscas de phishing crescem em sofisticação
Jeremy Fuchs, analista de pesquisa de segurança cibernética da Avanan, aponta que os ataques de phishing continuam a se tornar mais sofisticados e as táticas de engenharia social continuam a evoluir. Ele acredita que haverá um aumento no uso de serviços legítimos como o PayPal para enviar e-mails de phishing provenientes de um endereço de e-mail legítimo.
“Vimos um aumento nas chamadas táticas de lança dupla, em que os hackers não apenas obtêm seus fundos, mas também obtêm seu número de telefone para ataques futuros”, diz ele. “Veremos mais desses ataques que podem roubar mais de um item de um usuário final”.
Gretel Egan, especialista sênior em treinamento de conscientização de segurança cibernética da Proofpoint, diz que continua vendo invasores abusando de marcas conhecidas e aproveitando serviços legítimos para induzir as pessoas a cometer erros fundamentais na caixa de entrada.
“Estas são mensagens que parecem ‘certas’ na superfície, que exploram formas de trabalhar”, diz ela. “Esses tipos de manipulações sutis podem ser difíceis para as pessoas identificarem, e é fundamental que os trabalhadores estejam cientes das capacidades e propensões dos invasores para operar dessa maneira”.
Egan explica que os agentes de ameaças estão usando eventos e temas em tempo real que chamam a atenção do mundo em geral.
“Se é algo sobre o qual estamos falando como sociedade, ou algo que provoca emoções fortes, então é um conteúdo que provavelmente será explorado”, diz ela. “Cada vez mais, estamos vendo os agentes de ameaças usarem seu conteúdo de engenharia social para tirar as vítimas do ambiente de e-mail corporativo para plataformas de comunicação alternativas, como telefone e software de conferência”.
Força de trabalho distribuída aumenta vulnerabilidades
A engenharia social é inerentemente centrada nas pessoas e, na força de trabalho híbrida de hoje, as organizações estão lutando para proteger dados, dispositivos e sistemas enquanto permanecem ágeis.
Egan ressalta que os funcionários também estão tendo que se adaptar para permanecer conectados e engajados com seus colegas de trabalho.
“Aqueles em ambientes remotos e híbridos estão confiando fortemente em aplicativos de colaboração e mídias sociais, tanto públicas quanto corporativas”, diz ela. “Essas tendências abriram as portas para uma série de táticas de engenharia social e outras ameaças cibernéticas”.
Ela observa que as técnicas de engenharia social não são vistas apenas em e-mails – essas táticas estão sendo usadas com sucesso em mensagens de texto, telefonemas, mensagens diretas e muito mais.
Fuchs concorda que o trabalho remoto tem seus desafios, incluindo não poder parar na mesa de TI para perguntar sobre um e-mail.
“Mas enquanto trabalha em casa, a distração pode desempenhar um papel”, acrescenta. “Existem mais estímulos – o cachorro latindo, a criança chorando, respondendo a mil mensagens do Slack – que dedicar um tempo para se concentrar nas teclas em um e-mail que o alerta para o fato de que pode ser suspeito pode ser esquecido.”
Como implantar ML avançado, tecnologia de IA
Fuchs argumenta que as políticas de TI devem se afastar das “listas de permissão e bloqueio” estáticas e passar para a IA avançada.
“Listas estáticas permitem que esses serviços legítimos sejam usados para phishing”, diz Fuchs. “AL e ML avançados podem descobrir o que é real e o que não é.”
Egan diz que a proteção em várias camadas é a melhor estratégia contra e-mails de phishing, em camadas dentro de uma cultura de segurança com a colocação de pessoas no centro.
Ela acrescenta que é importante entender quais usuários são mais visados e quais são os mais propensos a cair na engenharia social da qual os ataques de phishing dependem.
“Os usuários são uma linha crítica de defesa contra phishing e é importante que a educação sobre conscientização de segurança forneça uma base para garantir que todos possam identificar um e-mail de phishing e denunciá-lo facilmente”, diz ela. “Isso deve ser combinado com defesas em camadas no gateway de e-mail, na nuvem e no endpoint.”
Fuchs concorda que, para os funcionários, o treinamento continua sendo obrigatório e precisa se concentrar em fazer com que o usuário diminua a velocidade e verifique alguns sinais críticos, como endereço do remetente e destino da URL.
De sua perspectiva, uma verificação de dois segundos geralmente pode evitar desastres.
“A principal conclusão dessa enxurrada de ataques de phishing é que os hackers obtiveram um tremendo sucesso ao alavancar marcas legítimas”, diz ele.
Seja falsificando a marca ou enviando e-mails de phishing diretamente do serviço, qualquer coisa que pareça uma marca confiável tem maior probabilidade de chegar à caixa de entrada do usuário e mais provável de ser tomada.
“Os golpes de personificação estão aumentando e, dada a enorme quantidade de serviços que eles podem aproveitar, não é provável que diminuam”, adverte.
FONTE: DARK READING