Ataques de spear-phishing: o que você precisa saber

Quando o assessor do chefe do Comitê Nacional Democrata (DNC), John Podesta, enviou a ele um e-mail que alegava que a conta do Gmail havia sido hackeada, Podesta fez o que a maioria de nós faria: clicou no link do e-mail e foi direcionado para um site onde foi solicitado para inserir uma nova senha. Ele fez isso e depois continuou seus negócios diários. Infelizmente para Podesta, o Partido Democrata e a campanha presidencial de Hillary Clinton, o email enviado a Podesta não era do Google. Pelo contrário, foi um ataque de spear-phish de um grupo de hackers russo chamado "Urso Chique".

Mesmo que você nunca tenha ouvido falar do termo "spear-phishing", sem dúvida já ouviu falar desse tipo de ataque. Você provavelmente já foi alvo deles. Esses ataques geralmente assumem a forma de e-mails de suporte ao cliente que solicitam que você altere credenciais ou podem ser enviados por meio de endereços de e-mail falsos para empresas que solicitam dados altamente pessoais de clientes ou funcionários. Por exemplo, em 2015, os funcionários da Ubiquiti Networks transferiram US $ 46, 7 milhões para contas no exterior, a pedido dos e-mails que os funcionários assumiram serem enviados pelos executivos da Ubiquiti. Na realidade, os hackers criaram contas de e-mail falsas que se pareciam com as contas executivas reais da Ubiquiti e enganaram os funcionários.

Com base em dados de um estudo recente realizado pela empresa de segurança de email IronScales, 77% dos ataques são focados em laser, visando 10 contas ou menos, com um terço dos ataques direcionados apenas a uma conta. Os ataques são curtos, com 47% com duração inferior a 24 horas e 65% com duração inferior a 30 dias. Os filtros de spam tradicionais e as ferramentas de proteção de terminais não estão capturando os ataques. Para cada cinco ataques identificados por filtros de spam, 20 ataques chegaram à caixa de entrada do usuário.

(Imagem Via: IronScales)

"Vemos invasores gastando muito mais tempo estudando seus alvos do que nos anos anteriores, executando um processo de reconhecimento muito abrangente", disse Eyal Benishti, CEO da IronScales. "Como resultado, os e-mails de phishing tornaram-se altamente direcionados e adaptados à empresa-alvo, pois os invasores podem coletar informações por meio de reconhecimento que os ajuda a criar e-mails com aparência de comunicação interna legítima. Por exemplo, vimos alguns ataques usarem o linguagem e assinaturas das organizações, e o conteúdo está muito contextual ao que está sendo executado atualmente dentro da empresa e entre partes confiáveis ​​".

Jeff Pollard, analista principal da Forrester Research, acrescentou que esses ataques também estão crescendo em sofisticação. "Os ataques estão ficando mais sofisticados, tanto em termos das iscas usadas para levar as pessoas a clicarem, quanto em termos de malware usado para entrar nos sistemas", disse Pollard. "Mas é o que esperamos, uma vez que a cibersegurança é uma batalha constante entre defensores e atacantes".

A solução

Para combater esses ataques, as empresas estão recorrendo ao software anti-phishing para detectar e sinalizar ataques recebidos. As ferramentas antispam e antimalware não impedem qualquer empresa que pretenda proteger dados comerciais. Porém, empresas como a IronScales estão dando um passo adiante ao mergulhar nas ferramentas de aprendizado de máquina (ML) para procurar e sinalizar proativamente e-mails de phishing incompletos. Além disso, como o ML permite que as ferramentas compilem ou se lembrem dos dados de fraude, o software aprende e melhora a cada verificação.

"A tecnologia dificulta o atacante enganar o defensor com pequenos ajustes que normalmente ignoram uma solução baseada em assinatura", disse Benishti. "Com o ML, podemos agrupar rapidamente diferentes variantes do mesmo ataque e combater mais eficazmente o phishing. De fato, a partir de nossa análise, o ML é a melhor maneira de treinar um sistema para diferenciar os emails legítimos de um parceiro confiável ou colega versus não legítimo ".

A tecnologia não é a única salvaguarda contra essas formas de ataques. Educação e cautela são talvez as defesas mais importantes contra ataques de spear-phishing. "Algumas empresas estão cientes das ameaças, enquanto outras acreditam erroneamente que sua solução atual está protegendo contra ataques direcionados", disse Benishti. "É muito importante entender que usar os mesmos mecanismos de defesa e esperar resultados diferentes em ataques futuros simplesmente não funcionará. Usar apenas a tecnologia contra ataques avançados, que colocam as pessoas como alvos, sempre fracassará, pois dependerá exclusivamente da conscientização dos funcionários e treinamento… Pessoas e máquinas trabalhando juntas para fechar essa lacuna de ataques desconhecidos é a única maneira de reduzir o risco ".

(Imagem Via: IronScales)

Como permanecer seguro

Aqui estão algumas maneiras muito simples de garantir que você e sua empresa não sejam enganados:

• Verifique se os e-mails da empresa estão marcados com "INTERNO" ou "EXTERNO" na linha de assunto.
• Verifique solicitações suspeitas ou arriscadas por telefone. Por exemplo, se o seu CEO enviar um e-mail a você e solicitar que você envie os dados pessoais de saúde de alguém, ligue ou envie uma mensagem de bate-papo para verificar a solicitação.
• Se uma empresa solicitar que você altere sua senha, não use o link na notificação por email; vá diretamente para o site da empresa e altere sua senha a partir daí.
• Nunca, em nenhuma circunstância, você deve enviar sua senha, número de segurança social ou informações de cartão de crédito a alguém no corpo de um email.
• Não clique nos links de e-mails que não contêm outro texto ou informação.

"À medida que as defesas melhoram, os ataques também", disse Pollard. "Acho que veremos campanhas de caça submarina e caça-baleias mais direcionadas. Também veremos um aumento nos phishing e nos golpes nas mídias sociais, que é uma área que não é tão madura do ponto de vista de segurança quanto a segurança de e-mail".

Infelizmente, por mais cuidadoso que seja, os ataques se intensificarão e se tornarão mais inteligentes. Você pode fazer tudo o que estiver ao seu alcance para educar você e seus funcionários, criar uma defesa anti-phishing apoiada por novas tecnologias e tomar todas as precauções possíveis. Mas, como observou Pollard, "leva apenas um dia ruim, um clique errado ou um usuário apressado tentando limpar uma caixa de entrada, para levar à catástrofe".