Um dos maiores desafios da segurança da informação vem de dentro da própria empresa: a cultura de segurança de dados voltados para os próprios funcionários.

Não clicar em links suspeitos, desconfiar de mensagens não usuais mesmo de remetentes confiáveis faz uma enorme diferença na hora da prevenção de ataques. Mas … como é possível identificar e educar a equipe interna contra os golpes mais comuns contra empresas?

Confira agora em nosso texto que fizemos pensando na crescente onda de ataques ao setor de tecnologia da informação, que vem acumulando inúmeros prejuízos para várias empresas.

Engenharia social, vírus, malwares e ransomwares: seu ambiente vulnerável

Quando pensamos em ataques hackers, nos vem a mente planos meticulosamente planejados, com scripts sofisticados que burlam sistemas corporativos e aplicações de segurança de alto nível, para aí sim eles obterem as informações que julgam necessárias para causar algum dano ou obter vantagens sobre alguma pessoa ou empresa.

Só que, no mundo real, é tudo muito mais simples: basta convencer o usuário a abrir um anexo em um e-mail. Só isso. Nada extremamente complexo digno de um filme, mas que ainda assim é a forma mais eficiente de entrar em um ambiente e sequestrar dados sempre com a intenção de causar maiores danos.

Quando um script, programa ou malware é instalado pelo próprio usuário, fica muito mais difícil para programas de antivírus ou o próprio Firewall detectar, visto que eles monitoram ameaças externas, por isso o termo “Cavalo de Tróia” ficou popular, pois o ataque é camuflado com uma mensagem chamativa, mas que contém um código malicioso para prejudicar a organização.

4 principais golpes de engenharia social: como identificar

Hardwares e softwares são de extrema importância para manter um ambiente protegido de ataques ativos e direcionados, mas uma parte essencial da estratégia de segurança de T.I é o conhecimento e cultura da informação dentro de uma empresa.

Para educar uma equipe, é preciso saber identificar esses golpes, além de manter a equipe informada sobre as melhores práticas na utilização de sistemas corporativos e principalmente o e-mail, visto que ele é um dos principais meios corporativos com vulnerabilidades.

1. Phising: método tradicional e muito eficiente

O método mais comum utilizado em ciberataques que consiste no disparo de um e-mail com a intenção de que o destinatário baixe e execute algum tipo de malware, para sequestrar dados do usuário ou de uma rede inteira, como o Ransomware, que criptografa arquivos de toda a infraestrutura, exigindo resgate por parte das vítimas. Se quiser saber mais sobre Ransomware, clique aqui :)

Também pode ter como o objetivo fornecimento de alguma informação pessoal, dados de cartão de crédito ou credenciais de acesso para algum sistema, para aí sim os criminosos obterem ainda mais informações sobre a empresa, financeiro e clientes, para aí sim causar mais danos em uma organização.

Segundo o estudo da Fortinet, parceira Softwall, foram registrados 1,6 bilhões de ataques somente na região do Brasil, com o aumento de 131% no número de malwares em março em comparação ao mesmo mês de 2019, sendo o Phishing o ataque que mais se intensificou no período, devido aos novos métodos de trabalho e home office.

#Exemplo 1: Disparo para obter informações

“Olá!
Governo Federal iniciou o cadastramento do Auxílio Cidadão que dá uma ajuda mensal no valor de R$ 200 para trabalhadores autônomos e pessoas de baixa renda para ajudar a combater CORONAVÍRUS. Confira se você tem direito ao benefício
Veja se você tem direito: https://auxilio-cidadao.corona.org.br/”

Note que aqui a URL pode até se mostrar confiável, mas quando você acessa, ela irá para uma página diferente da mencionada, além da notícia ser falsa e se aproveitar de alguma situação que esteja em alta para conseguir se disseminar com mais rapidez. Antes de clicar, verifique nos sites apropriados se a notícia é realmente verdadeira.

Aqui no blog da Softwall já falamos sobre golpes em tempos de crise e fake News, se quiser saber mais sobre mensagens maliciosas e fontes de pesquisa e verificação, clique aqui.

#Exemplo 2: Nota de pedido anexada

“Olá!
Segue anexada a nota e boleto referente ao pedido 554221 que foi realizada no dia 05 de novembro em nosso site, caso tenha problemas em visualizar, clique no botão abaixo para gerar um novo arquivo.
[Botão com URL maliciosa]”

Aqui pode ser um e-mail direcionado ao contato financeiro, CFO, ou qualquer e-mail corporativo dentro da empresa com o intuito de instalar um malware, ransomware ou algum método de sequestro ou roubo de informações. Se atente sempre a anexos não solicitados, mesmo que pareçam de fontes confiáveis.

Phishing e engenharia social: Saiba como se proteger - Softwall

2. Spear Phishing: um dos métodos mais efetivos

O Spear Phishing é também um ataque de Phishing, mas se difere por ser direcionado para uma pessoa ou organização, diferente de um Phishing tradicional em que ele é mais abrangente e sem conhecimento de quem irá receber a mensagem.

Ele é feito após a obtenção de informações que possam melhor identificar as vítimas, como nomes, e-mails válidos e cargos para personalizar mensagens e fazer com que elas se pareçam mais verossímeis que as mensagens genéricas enviadas no Phising comum.

#Exemplo 1: Através de um contato conhecido

“Olá, [nome da pessoa]
Estamos verificando todos os cadastros dentro da empresa e, para isso, solicitamos que entre no link abaixo e insira as suas informações de login para atualizar o seu cadastro
https://sistema.sitedaempresa.com.br/?redirect=www.urlmaliciosa.com.br”

Note que, nesse tipo de ataque, eles utilizam todo o ambiente conhecido da empresa, no entanto, há sempre informações que não fazem parte do ambiente diário, como uma URL que se difere do padrão ou com mais dados que o normal, por isso merece atenção e questionamentos na equipe sobre processos não usuais, quando necessário.

3. Pretexting / Aproximação

Nesse tipo de engenharia social, o atacante se aproxima da vítima com o intuito de querer saber mais sobre seus interesses, cargo, atividades ou oferecer algo em troca de informações, assumindo sempre uma postura mais amigável para obter dados que não seriam tão facilmente obtidos de outra forma.

Pode ser através de um telefone, e-mail ou algum outro meio de contato, como o WhatsApp, mas sempre no intuito de obter dados da pessoa, da empresa ou de outros funcionários de uma hierarquia superior para assim utilizar dessas informações para realizar maiores danos.

4. Bots e Ativação de Macros

Assim como no Phishing que temos a instalação de extensões malwares, também pode-se ter a instalação de programas, bots ou extensões no navegador de disparo de informações e mensagens, a partir do seu contato que é confiável dentro da organização, para outros contatos dentro da sua lista.

Por que esse tipo de ataque é prejudicial? Pois ele pode ter acesso a toda listagem de e-mail de toda a empresa, além da mensagem disparada conter URLs maliciosas para roubo de informações de outros contatos, o que permite que esse ataque seja escalável dentro da organização ou até mesmo através de redes sociais.

Mas….e como se proteger?

Como se proteger de ataques que utilizam de poucos recursos tecnológicos que se disfarçam em mensagens críveis de remetentes que podem ser confiáveis? Simplesmente desconfie. Desconfie de mensagens e processos que não são comunicados oficialmente, de anexos não solicitados ou de solicitação de acessos e credenciais que não são necessárias.

1. Phishing – como se proteger: verifique se aquela mensagem recebida é realmente verdade, se aquele anexo foi realmente solicitado e se a extensão do arquivo é compatível com o e-mail enviado, como um vídeo anexado como nota fiscal, ou vice versa.

2. Spear Phishing – como se proteger: como ele é mais específico, antes de digitar qualquer credencial em alguma URL ou abrir qualquer arquivo enviado, verifique por algum outro meio ou questione o remetente se aquela mensagem ou processo é realmente verdadeiro.

3. Pretexting / Aproximação – como se proteger: não forneça informações privilegiadas em qualquer ligação ou mensagem de qualquer meio, somente as necessárias para a demanda específica, assim, você não corre o risco de dar informações importantes a qualquer pessoa.

4. Bots e Ativação de Macros – como se proteger: não entre em qualquer link, não baixe e execute qualquer arquivo, mesmo sem permissão de administrador, uma extensão no navegador pode causar grandes danos a sua imagem pessoal e a empresa em que você atua.

Red Team e mitigação de falhas e vulnerabilidades

A simulação de ataques não se dá somente na obtenção de informações através de invasões a sistemas, mas também do conhecido Phishing, como vimos no texto, ele é um dos métodos mais eficazes e é por isso que em uma abordagem do Red Team da Softwall ele está presente, para avaliar não somente a saúde do ambiente, mas como os colaboradores reagem a esse tipo de campanha.

A partir disso, é possível verificar o quão efetivo foi a campanha e elaborar materiais mais assertivos para a educação sobre segurança da informação dentro das equipes, sendo esse o método de precaução mais efetivo contra phishing: a informação.

Contate-nos para saber mais sobre uma segurança 360° para seu ambiente!

SOFTWALL – Em Curitiba e Região – Paraná:
Telefone: (41) 3153-5090
E-mail: [email protected]

E também em Balneário Cambouriú e Região – Santa Catarina:
Telefone: (41) 3153-5090
E-mail: [email protected]

“Sua segurança é o nosso objetivo”