Como proteger usuários e dados contra Engenharia Social

Como proteger usuários e dados conforme a Engenharia Social evolui. Adversários utilizam Engenharia Social já há um tempo para enganar suas vítimas e fazê-las repassar acessos ou informações indisponíveis ao público.

A engenharia social continua se provando efetiva e deve ser um grande fator em possíveis vazamentos em 2024. O time de Resposta a Incidentes da CrowdStrike já trabalhou contra uma enorme quantidade de vazamentos que se originam através de táticas de Engenharia Social, e nós incentivamos fortemente que os times de segurança de empresas tomem precauções contra isso.

Os adversários de hoje estão constantemente desenvolvendo novos meios para tornar suas campanhas de engenharia social mais sutis e eficazes, como provado por seus métodos mais recentes detalhados no Relatório de Ameaças Globais de 2024 da CrowdStrike. Phishing, voice phishing (vishing) e SMS phishing (smishing) estão entre as técnicas de engenharia social que se tornaram mais prevalentes no ano passado, e vários agentes dessas ameaças encontraram sucesso usando esses métodos, mirando em grandes organizações com programas de segurança maduros.

À medida que a engenharia social continua a evoluir e representar uma ameaça significativa, é essencial que as equipes de segurança de todos os níveis de maturidade se preparem para se defender contra esses métodos.

Cenário: Engenharia Social na Prática

Seu serviço de suporte de TI recebe uma ligação angustiada de um “funcionário” que não consegue fazer login nos sistemas de trabalho. Após uma tentativa de solução inicial sem sucesso, o “funcionário” exerce pressão sobre o analista do help desk, criando urgência em torno da situação: “Você não pode simplesmente redefinir minha senha? Tenho prazo para entregar uma tarefa e isso está me atrasando.” A política de muitas organizações seria fazer perguntas de segurança e verificar com o gerente do solicitante para redefinir a senha, mas, neste caso, o analista do Help Desk é persuadido a redefinir a senha sem a aprovação do gerente.

Cerca de uma hora depois, começam a chegar chamadas ao help desk de usuários relatando que não conseguem acessar recursos na rede. Naquele momento, fica claro para o setor de TI e InfoSec que um ataque de ransomware está em andamento.

Durante a resposta ao incidente, é descoberto que o usuário que solicitou a redefinição da senha não era o usuário legítimo, mas um threat actor (agente de ameaças) se passando por ele. O agente aproveitou esse acesso à rede obtido ilicitamente para implantar ransomware e comprometer a rede.

Este cenário é um dos muitos exemplos de engenharia social. A equipe de Resposta a Incidentes da CrowdStrike tem observado um aumento alarmante nas tentativas de engenharia social para obter acesso a sistemas de TI sensíveis e contas privilegiadas, reduzindo o tempo e o esforço necessários para violar uma organização. Aconselhamos que as equipes de segurança tomem precauções contra métodos de infiltração, como os descritos no cenário acima.

Por que a Engenharia Social é eficaz?

Vários aspectos da engenharia social a tornam atrativa para adversários. Um agente de ameaças que tenta exploração técnica pode encontrar barreiras em portais de autenticação, firewalls e outros obstáculos técnicos, mas a engenharia social pode usar emoção, urgência e pretexto como alavancas para persuadir alguém a fornecer suas credenciais de acesso. A engenharia social se aproveita do aspecto humano para burlar os processos de segurança em vigor em uma organização.

Se um adversário for bem-sucedido em engenharia social para conceder acesso a um ambiente, o resultado pode ser altamente lucrativo. Como o acesso concedido foi dado a um “funcionário”, parece legítimo e não chama atenção e nem aciona detecções iniciais. Isso dá ao agente de ameaças tempo para realizar reconhecimento do ambiente, coletar informações sensíveis e, em alguns casos, monitorar canais de bate-papo para determinar se a atividade foi detectada.

Uma vez que um adversário consegue se infiltrar via engenharia social, eles podem ter acesso privilegiado a contas de nível administrativo, permitindo que se espalhem rapidamente para capturar dados sensíveis e implantar ransomware que pode interromper o fluxo de negócios. Ter credenciais privilegiadas legítimas reduz a probabilidade de detecção, dando ao adversário tempo adicional para comprometer completamente a empresa.

Phishing

O phishing é o uso fraudulento de e-mails para coletar informações, capturar credenciais ou implantar malware em um sistema. Ataques de agentes de ameaças estatais, como o HELIX KITTEN, têm sido flagrados usando campanhas de spear-phishing, o que significa que eles visam contas específicas de usuários e às vezes privilegiadas, com e-mails contendo vírus maliciosos em documentos em anexo.

Muitas vezes, em vez de um anexo, um link é fornecido para um portal de autenticação aparentemente legítimo para o Microsoft 365 ou o Okta, juntamente com um chamado “urgente”, como “atividade recente suspeita” dentro da conta ou expiração da senha. O falso portal de login captura quaisquer credenciais inseridas e pode então ser usado pelo adversário para acessar a conta alvo. Algumas plataformas, como evilginx e modlishka, oferecem aos agentes de ameaças a capacidade de contornar mecanismos de autenticação de dois fatores.

Vishing

Vishing é o uso manipulador da comunicação por voz para coagir um alvo a conceder acesso a sistemas ou informações. Nos últimos meses, agentes de ameaças como SCATTERED SPIDER têm atacado help desks a fim de acionar redefinições de senha e trocas de autenticação multifator (MFA) para contas de usuários específicas. Isso concede ao agente (ou ator de ameaças) acesso autenticado à rede alvo.

O vishing depende fortemente de atuação, reconhecimento e pesquisa extensiva antes da ligação. Por exemplo, um ator de ameaças pode criar uma lista de alvos em potencial procurando no LinkedIn pelos funcionários de uma empresa. A partir daí, eles podem examinar cada perfil para ver qual deles fornece mais informações voluntariamente e depois ir para outros sites de redes sociais para coletar informações adicionais sobre o trabalho da pessoa, tempo de permanência na empresa, endereço e possíveis respostas a perguntas de segurança.

O reconhecimento também envolve familiarizar-se com os sistemas que uma empresa está usando ou como seu help desk opera. O ator de ameaças pode ligar para o help desk se passando por uma pessoa diferente para ver quais perguntas são feitas para confirmação de identidade, ou examinar as listagens de empregos na organização para aprender sobre o software e a infraestrutura que ela usa.

Um elemento-chave do vishing é a entrega. Se os processos de segurança forem fracos e o adversário tiver informações suficientes para convencer o assistente do help desk de que a ligação é autêntica, simples gentilezas podem ser suficientes. No entanto, às vezes, a emoção e a manipulação também são usadas para tentar convencer a pessoa do outro lado da linha de que eles devem se desviar do procedimento padrão para ajudar o funcionário. Exemplos incluem chorar, intimidar ou fingir dificuldade com tecnologia.

Smishing

O smishing é o uso enganoso do serviço de Mensagem de Texto (SMS) para manipular um alvo e obter informações ou acesso a um sistema ou conta. Dependendo do objetivo, o smishing pode visar um amplo grupo de pessoas ou indivíduos específicos. A própria mensagem às vezes pode solicitar informações pessoalmente identificáveis (PII) do alvo ou tentar convencê-lo a clicar em um link fornecido.

No contexto de comprometimento organizacional, o smishing pode assumir diversas formas. Se o número de telefone alvo estiver associado a um dispositivo empresarial, o acesso sensível e as informações no dispositivo estarão em risco se o usuário clicar em um link malicioso.

Independente do dispositivo, o ator malicioso pode estar mirando um usuário específico para coletar informações que posteriormente possam ser utilizadas para responder a perguntas de segurança em outra fase do ataque de engenharia social.

Proteção contra a Engenharia Social

Engenharia Social, quando feita de forma eficaz, pode facilitar os esforços de um adversário para se movimentar pelo ambiente de sua vítima sem ser notado. Siga estas dicas para proteger sua organização contra técnicas comuns de engenharia social:

Use perguntas de segurança que não sejam facilmente pesquisáveis: Solicite ao usuário que forneça informações que não possam ser facilmente encontradas em pesquisas de código aberto, como um número de identificação de ativo para sua estação de trabalho.
Use MFA (autenticação multifator): Exija que todos os funcionários usem autenticação multifator para acessar recursos organizacionais. Isso adiciona outra camada de segurança no caso de uma senha ser comprometida.
Implemente múltiplas verificações para redefinições de senha: Crie várias camadas de segurança no processo de redefinição de senha. Por exemplo, exija perguntas de segurança e aprovação do gerente ou aceitação de uma notificação push.
Treine e eduque a equipe do help desk: Informe todos os associados do help desk sobre os processos de segurança em vigor e os riscos associados a não aderir a eles.
Mantenha os funcionários informados sobre possíveis ameaças: Se a organização tomar conhecimento de alguma campanha de engenharia social direcionada a seus funcionários, notifique-os imediatamente e forneça uma maneira para que eles relatem atividades suspeitas.
Use listas de permissões para instalação de software em sistemas: Limite o que pode ser instalado nos sistemas organizacionais. Ao escolher explicitamente os softwares permitidos, a organização está implicitamente negando a instalação e execução de todo software que não estiver nessa lista. Isso pode prevenir a instalação e uso de softwares aparentemente inofensivos que podem ser aproveitados para atividades maliciosas, como ferramentas de monitoramento e gerenciamento remoto.