A engenharia social não é um conceito novo, mesmo no mundo da segurança cibernética. Somente os golpes de phishing já existem há quase 30 anos, e os invasores encontram consistentemente novas maneiras de induzir as vítimas a clicar em um link, baixar um arquivo ou fornecer informações confidenciais.
Os ataques de comprometimento de e-mail comercial (BEC) repetiram esse conceito, fazendo com que o invasor obtivesse acesso a uma conta de e-mail legítima e se passasse por seu proprietário. Os invasores raciocinam que as vítimas não questionarão um e-mail proveniente de uma fonte confiável – e muitas vezes, eles estão certos.
Mas o e-mail não é o único meio eficaz que os cibercriminosos usam para realizar ataques de engenharia social. As empresas modernas dependem de uma variedade de aplicações digitais, desde serviços em nuvem e VPNs até ferramentas de comunicação e serviços financeiros. Além do mais, esses aplicativos estão interconectados, de modo que um invasor que consiga comprometer um deles também poderá comprometer outros. As organizações não podem se dar ao luxo de se concentrar exclusivamente em ataques de phishing e BEC – não quando o comprometimento de aplicativos de negócios (BAC) está aumentando.
Segmentação de logon único
As empresas usam aplicativos digitais porque são úteis e convenientes. Na era do trabalho remoto, os funcionários precisam de acesso a ferramentas e recursos críticos em uma ampla variedade de locais e dispositivos. Os aplicativos podem agilizar os fluxos de trabalho, aumentar o acesso a informações críticas e facilitar o trabalho dos funcionários. Um departamento individual dentro de uma organização pode usar dezenas de aplicativos, enquanto ouma empresa média usa mais de 200. Infelizmente, os departamentos de segurança e TI nem sempre conhecem — e muito menos aprovam — essas aplicações, o que torna a supervisão um problema.
A autenticação é outro problema. Criar (e lembrar) combinações exclusivas de nome de usuário e senha pode ser um desafio para quem usa dezenas de aplicativos diferentes para realizar seu trabalho. Usar um gerenciador de senhas é uma solução, mas pode ser difícil para a TI aplicá-la. Em vez disso, muitas empresas simplificam os seus processos de autenticação por meio de soluções de logon único (SSO), que permite que os funcionários façam login em uma conta aprovada uma vez para acessar todos os aplicativos e serviços conectados. Mas como os serviços SSO oferecem aos usuários acesso fácil a dezenas (ou até centenas) de aplicativos de negócios, eles são alvos de alto valor para os invasores. Os provedores de SSO possuem recursos e capacidades de segurança próprios, é claro, mas o erro humano continua sendo um problema difícil de resolver.
Engenharia Social, Evoluída
Muitos aplicativos — e certamente a maioria das soluções SSO — possuem autenticação multifator (MFA). Isso torna mais difícil para os invasores comprometerem uma conta, mas certamente não é impossível. A MFA pode ser irritante para os usuários, que podem ter que usá-la para fazer login em contas várias vezes ao dia – levando à impaciência e, às vezes, ao descuido.
Algumas soluções MFA exigem que o usuário insira um código ou mostre sua impressão digital. Outros simplesmente perguntam: “É você?” Este último, embora mais fácil para o usuário, dá aos invasores espaço para operar. Um invasor que já obteve um conjunto de credenciais de usuário pode tentar fazer login diversas vezes, apesar de saber que a conta está protegida por MFA. Ao enviar spam para o telefone do usuário com solicitações de autenticação MFA, os atacantes aumentam a fadiga de alerta da vítima. Muitas vítimas, ao receberem uma enxurrada de solicitações, presumem que a TI está tentando acessar a conta ou clicam em “aprovar” simplesmente para interromper a enxurrada de notificações. As pessoas ficam facilmente irritadas e os invasores estão usando isso a seu favor.
De muitas maneiras, isso torna o BAC mais fácil de realizar do que o BEC. Os adversários envolvidos no BAC só precisam de incomodar as suas vítimas para que tomem uma decisão errada. E ao visar provedores de identidade e SSO, os invasores podem obter acesso a potencialmente dezenas de aplicativos diferentes, incluindo serviços de RH e de folha de pagamento. Aplicativos comumente usados, como o Workday, costumam ser acessados por meio de SSO, permitindo que os invasores se envolvam em atividades como depósito direto e fraude na folha de pagamento, que podem canalizar fundos diretamente para suas próprias contas.
Esse tipo de atividade pode facilmente passar despercebida – por isso é importante ter ferramentas de detecção na rede que possam identificar comportamentos suspeitos, mesmo de uma conta de usuário autorizada. Além disso, as empresas devem priorizar o uso de chaves de segurança Fast Identity Online (FIDO) resistentes a phishing
ao usar MFA. Se os fatores somente FIDO para MFA não forem realistas, a próxima melhor coisa é desabilitar e-mail, SMS, voz e senhas de uso único baseadas em tempo (TOTPs) em favor de notificações push e, em seguida, configurar MFA ou políticas de provedor de identidade para restringir o acesso aos dispositivos gerenciados como uma camada adicional de segurança.
Priorizando a prevenção de TAS
Publicações recentes pesquisa indica
que as táticas BEC ou BAC são usadas em 51% de todos os incidentes. Embora menos conhecido que o BEC, o BAC bem-sucedido concede aos invasores acesso a uma ampla variedade de aplicativos comerciais e pessoais associados à conta. A engenharia social continua sendo uma ferramenta de alto retorno para os invasores de hoje – uma ferramenta que evoluiu junto com as tecnologias de segurança projetadas para detê-la.
As empresas modernas devem educar os seus funcionários, ensinando-lhes como reconhecer os sinais de uma potencial fraude e onde denunciá-la. Com as empresas utilizando mais aplicativos a cada ano, os funcionários devem trabalhar lado a lado com suas equipes de segurança para ajudar os sistemas a permanecerem protegidos contra invasores cada vez mais desonestos.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
