*Vladimir Amarante
Ataques direcionados baseados em engenharia social – técnica que busca conhecer os hábitos dos colaboradores para facilitar a entrada de malwares ou ganhar acesso privilegiado – são uma prática crescente em todo o mundo. Eles são formulados com foco em companhias específicas, centrando esforços em grupos de usuários determinados e utilizam como base o comportamento de navegação na internet e de comunicação para facilitar a invasão. Dois muito comuns são o spear-phishing e o watering hole.
Evitar esse tipo de ação é trabalho complexo, porque o invasor investe tempo e foco na elaboração de uma estratégia certeira e discreta, baseada em muita pesquisa e persistência. Mas isso não significa que seja uma tarefa impossível. É importante, então, conhecer bem o inimigo, para poder combatê-lo.
O que é o spear-phishing?
Pelo spear-phising, o usuário recebe um e-mail que o convida a clicar em um link malicioso. A diferença para as ações de massa é que pelo spear-phishing tanto a mensagem quanto a oferta são direcionadas para seu perfil de atuação na empresa. Um departamento de Recursos Humanos, por exemplo, dificilmente vai se negar a abrir um currículo enviado anexo a um e-mail, assim como um vendedor não achará estranho baixar uma apresentação institucional de um cliente em potencial. Em 2014, o mundo lidou com uma média diária de 73 spear-phishing, segundo o Relatório de Ameaças de Segurança na Internet, produzido pela Symantec com dados referentes a 2014.
O que é watering hole?
Em ataques do tipo watering hole, os cibercriminosos conhecem o comportamento de navegação na internet de um grupo de usuários e infectam os sites mais visitados com links ou conteúdo maliciosos. A chance de sucesso aumenta, já que as ameaças ficam “escondidas” em um ambiente aparentemente seguro.
O que motiva as invasões?
Há duas grandes motivações por trás de um ataque direcionado: ou se trata de ganho financeiro – obtido com o roubo de informações contábeis, campanhas de marketing, base de clientes, propriedade intelectual em geral – ou o foco é o ciberativismo, seja porque o invasor quer causar um prejuízo para a empresa, seja para ganhar visibilidade.
Quem são os alvos?
O estudo da Symantec mostra que colaboradores individuais (27%), estagiários (26%), diretores (19%) e gerentes (6%) foram alvo de ao menos um ataque do tipo spear-phishing no ano passado. Por ramo de atividade, manufatura (20%); serviços não tradicionais (20%); finanças, seguros e imóveis (18%); serviços profissionais (11%); e atacado (10%) são os setores mais visadas pelos invasores.
Quais as portas de entrada mais comuns?
Eles podem entrar na infraestrutura corporativa por meio de falhas de segurança convencionais, não corrigidas por falta de atualizações ou configurações adequadas, por exemplo, mas vemos crescimento do uso de brecha do tipo dia zero, ou zero-day – aquelas totalmente desconhecidas pelo mercado, ainda não catalogadas pelos criadores do software ou empresas de segurança. A Symantec identificou 24 vulnerabilidades do tipo em 2014, sendo que as cinco principais levaram, em média, 59 dias para serem resolvidas pelos fabricantes e, quem sabe, mais tempo ainda, pelas empresas vulneráveis.
Como evitar?
Obviamente, há softwares de segurança desenvolvidos para proteger as empresas e dar os alertas em casos de comportamento suspeito ou brechas, mas fica a pergunta: a equipe de segurança da informação está treinada e em número suficiente de colaboradores para atender a todas essas demandas? Levando em consideração que o alvo do ataque são os colaboradores, eles estão conscientes sobre os riscos e preparados para evitar os riscos desses dois tipos de ataque direcionado?
*Vladimir Amarante é Diretor de Pré-Venda e Consultoria para a América Latina da Symantec