Equipe editorial da Getronics
Neste artigo:
Com uma estimativa de 3,4 bilhões de solicitações maliciosas de informações enviadas por e-mail todos os dias, o ataque de phishing é a forma mais comum de ataque cibernético do mundo. A maioria das empresas opera sob a ilusão de que as tentativas de phishing são fáceis de detectar e que os funcionários nunca seriam vítimas de uma solicitação suspeita de suas credenciais.
Mas uma série de ataques recentes de phishing em empresas de alto nível, como Cisco, Twilio e Uber, chamou a atenção para uma realidade surpreendente:
- Os atacantes de phishing estão usando métodos mais sofisticados do que nunca, incluindo mensagens e e-mails com IA para que pareçam ainda mais realistas.
- Como um vetor para malware e ransomware, o phishing representa um risco extremo para qualquer empresa.
- Mesmo com os mais rígidos padrões de segurança em vigor, nenhuma empresa está completamente a salvo do risco de erro humano, do qual o phishing depende.
- Os atacantes de phishing modernos exploram as fraquezas humanas para contornar até mesmo medidas de segurança avançadas, como a autenticação multifator (MFA).
- Os maus hábitos e a falta de conscientização por parte dos funcionários criam as condições ideais para um ataque de phishing de nível superior.
Sua empresa está fazendo tudo o que é necessário para proteger seus dados confidenciais e evitar ser a próxima vítima de um ataque de phishing? Você tem o treinamento e as tecnologias corretas em vigor? Você realiza ativamente avaliações de risco de phishing para identificar possíveis ameaças? E mesmo que faça isso, você está seguro? Neste artigo, exploramos os perigos do phishing e como você pode minimizar o risco de erro humano para manter seus sistemas internos mais seguros.
Aumentando as apostas: Phishing de próximo nível
Percorremos um longo caminho desde que a prática de phishing ganhou notoriedade no final da década de 1990. Naquela época, os hackers geralmente entravam em contato com as pessoas por e-mail, fazendo-se passar por uma empresa confiável e solicitando informações confidenciais, como credenciais de login ou detalhes de cartão de crédito. Embora esses ataques tenham resultado em consequências devastadoras para as vítimas envolvidas, os sofisticados atacantes de phishing de hoje estão de olho em algo muito maior: os vastos conjuntos de dados confidenciais de clientes mantidos pelas empresas.
A violação da Twilio em 2022 é um exemplo clássico. Os criminosos cibernéticos enviaram mensagens de texto aos funcionários da Twilio, fazendo-se passar pelo departamento de TI da empresa e solicitando alterações de senha. Eles direcionaram os funcionários para uma versão falsa da página de login da empresa, onde coletaram as credenciais dos funcionários e, por fim, obtiveram acesso aos dados de 125 clientes da Twilio.
O aumento dos ataques de fadiga de MFA
Um modo cada vez mais comum de phishing é o ataque de fadiga de MFA (também conhecido como bombardeio de MFA). Com essa tática, os agentes de ameaças obtêm ilicitamente as credenciais da vítima (por exemplo, comprando-as na darkweb). Eles usam as credenciais para acionar várias solicitações de MFA. Sentindo-se confusa ou sobrecarregada por uma enxurrada de notificações de MFA, a vítima pode simplesmente aprovar a solicitação, possivelmente pensando que ela mesma a acionou inadvertidamente.
No entanto, como muitas pessoas desconfiam imediatamente quando recebem uma sequência de solicitações não solicitadas de MFA, elas podem se recusar a se autenticar. Sabendo disso, os atacantes criam socialmente um cenário no qual a solicitação de MFA parece legítima. Por exemplo, eles ligam ou enviam um e-mail para a vítima, fazendo-se passar por uma parte confiável, como o departamento de TI de uma empresa, informando que ela precisa autenticar sua identidade como parte de um procedimento de segurança de rotina. Aproveitando o senso de confiança da vítima, o agente da ameaça consegue a autenticação e obtém acesso a sistemas restritos.
A fadiga do MFA em ação
Os criminosos por trás do ataque à Cisco em 2022 obtiveram as credenciais da conta do Google da vítima, que continham credenciais sincronizadas para suas contas relacionadas ao trabalho. Os invasores acionaram solicitações de MFA e, em seguida, ligaram para a vítima por telefone, fazendo-se passar por uma organização confiável. Por telefone, eles convenceram o funcionário a aceitar uma solicitação de MFA, obtendo assim acesso aos sistemas internos da Cisco, onde lançaram payloads de malware e comprometeram vários servidores.
Durante um incidente semelhante em 2022, a Uber foi vítima de um ataque de fadiga de MFA pelo famoso grupo de hackers Lapsus$. Os hackers obtiveram as credenciais de VPN de um prestador de serviços externo que trabalhava para a Uber (provavelmente compradas na darkweb) e usaram essas credenciais para acionar solicitações de MFA. Quando o contratado inicialmente ignorou as solicitações, os hackers entraram em contato com ele pelo WhatsApp, fazendo-se passar pelo suporte da Uber e instruindo-o a se autenticar. Em pouco tempo, os hackers tiveram acesso a vários sistemas internos, eventualmente obtendo permissões elevadas para ferramentas como G-Suite e Slack.
Combate a um ataque de phishing por meio de tecnologia e treinamento
O phishing é um desafio complexo, que exige um esforço conjunto dos departamentos de TI e RH de sua empresa, pois ocorre na interface entre a tecnologia e o comportamento humano. Os CIOs/CISOs e os líderes de RH devem adotar uma abordagem holística na qual as pessoas, os processos e a tecnologia estejam alinhados. Aqui estão os fundamentos para esse tipo de abordagem:
Treinamento de conscientização sobre segurança
Os funcionários precisam de treinamento contínuo sobre as técnicas de phishing mais recentes e as práticas recomendadas para reconhecer e responder a atividades suspeitas. No caso dos ataques de fadiga de MFA da Uber e da Cisco, por exemplo, as empresas poderiam ter evitado as violações ensinando especificamente a seus funcionários e parceiros externos como identificar uma tentativa de phishing relacionada à MFA.
Práticas de MFA resistentes a ataques de phishing
Os métodos de MFA de última geração, como a autenticação FIDO2/WebAuthn, códigos QR e tokens físicos, ajudam a reduzir a superfície de ataque da sua empresa. Exigir que o usuário conclua uma ação para autenticar sua intenção de fazer login também reduz o risco de ataques de fadiga de MFA, nos quais o usuário pode aceitar uma solicitação simplesmente para impedir que uma enxurrada de notificações push seja acionada por um invasor.
Práticas de senhas fortes
Aplique políticas rigorosas de senha que proíbam alterações incrementais (de um caractere) e exijam senhas fortes e exclusivas.
Avaliações de risco de phishing
Trabalhe com um parceiro especializado em segurança cibernética para avaliar regularmente o risco de phishing da sua empresa e realizar ataques simulados de phishing. Isso permite que você identifique os pontos fracos e corrija as vulnerabilidades.
Estrutura de confiança zero
Implemente uma abordagem de confiança zero que exija verificação em todas as etapas, minimizando a superfície de ataque.
Não deixe que os atacantes de phishing fiquem em vantagem. Certifique-se de que sua força de trabalho esteja atualizada e salve sua empresa.
Do que depende a proteção de sua empresa contra um ataque de phishing
A proteção de sua empresa contra um ataque de phishing depende de sua capacidade de aumentar a conscientização, promover os tipos corretos de comportamento e implementar tecnologias seguras.
As empresas sempre terão de lidar com o risco de uma pequena minoria de funcionários que não cumprem as políticas de segurança. Isso significa que proteger sua empresa contra phishing é uma questão de minimizar os riscos em vez de eliminá-los completamente. Ainda assim, com uma avaliação robusta dos riscos de phishing e medidas de prevenção adequadas em vigor, você coloca sua organização no caminho para um futuro muito mais seguro. Saiba como os Serviços de Segurança da Getronics podem ajudá-lo a proteger sua empresa.
