Os riscos do erro humano: até que ponto sua empresa está protegida contra um ataque de phishing de última geração?

Mas uma série de ataques recentes de phishing contra empresas de grande visibilidade, como a Cisco, a Twilio e a Uber, chamou a atenção para uma realidade alarmante:

• Os autores de ataques de phishing estão utilizando métodos mais sofisticados do que nunca, incluindo mensagens e e-mails gerados por IA para tornar tudo ainda mais realista.
• Como meio de disseminação de malware e ransomware, o phishing representa um risco extremo para qualquer empresa.
• Mesmo com os mais rigorosos padrões de segurança em vigor, nenhuma empresa está totalmente a salvo do risco de erro humano, do qual o phishing se aproveita.
• Os autores de ataques de phishing modernos exploram as fraquezas humanas para contornar até mesmo medidas de segurança avançadas, como a autenticação multifatorial (MFA).
• Os maus hábitos e a falta de conscientização por parte dos funcionários criam as condições ideais para um ataque de phishing de nível avançado.

Sua empresa está fazendo tudo o que é necessário para proteger seus dados confidenciais e evitar se tornar a próxima vítima de um ataque de phishing? Vocês contam com o treinamento e as tecnologias adequadas? Realizam ativamente avaliações de risco de phishing para identificar possíveis ameaças? E, mesmo que sim, vocês estão seguros? Neste artigo, exploramos os perigos do phishing – e como vocês podem minimizar o risco de erro humano para manter seus sistemas internos mais seguros.
 

Aumentando a aposta: phishing de última geração
Percorremos um longo caminho desde que a prática do phishing ganhou notoriedade pela primeira vez no final da década de 1990. Naquela época, os hackers geralmente entravam em contato com as pessoas por e-mail, se passando por uma empresa confiável e solicitando informações confidenciais, como credenciais de login ou dados de cartão de crédito. Embora esses ataques tenham resultado em consequências devastadoras para as vítimas envolvidas, os sofisticados atacantes de phishing de hoje têm como alvo algo muito maior: os vastos conjuntos de dados confidenciais de clientes mantidos pelas empresas.

A violação de segurança da Twilio em 2022 é um exemplo clássico. Os cibercriminosos enviaram mensagens de texto aos funcionários da Twilio, fingindo ser o departamento de TI da empresa e solicitando a alteração de senhas. Eles direcionaram os funcionários para uma versão falsa da página de login da empresa, onde coletaram as credenciais dos funcionários e, por fim, obtiveram acesso aos dados de 125 clientes da Twilio.
 

O aumento dos ataques de “fadiga de MFA”
Um método cada vez mais comum de phishing é o ataque de “fadiga de MFA” (também conhecido como “bombardeio de MFA”). Nessa tática, os agentes mal-intencionados obtêm ilegalmente as credenciais da vítima (por exemplo, comprando-as na dark web). Eles usam essas credenciais para gerar múltiplas solicitações de MFA. Sentindo-se confusa ou sobrecarregada por uma enxurrada de notificações de MFA, a vítima pode simplesmente aprovar a solicitação, possivelmente pensando que foi ela mesma quem a acionou inadvertidamente.

No entanto, como muitas pessoas ficam imediatamente desconfiadas ao receber uma série de solicitações de MFA não solicitadas, elas podem se recusar a se autenticar. Sabendo disso, os invasores criam, por meio de engenharia social, um cenário em que a solicitação de MFA pareça legítima. Por exemplo, eles ligam ou enviam um e-mail para a vítima, se passando por uma entidade confiável, como o departamento de TI de uma empresa, informando que ela precisa autenticar sua identidade como parte de um procedimento de segurança de rotina. Ao explorar o sentimento de confiança da vítima, o agente mal-intencionado consegue a autenticação e obtém acesso a sistemas restritos.
 

A exploração da MFA em ação
Os criminosos responsáveis pelo ataque à Cisco em 2022 haviam obtido as credenciais da conta do Google da vítima, que continham credenciais sincronizadas para suas contas profissionais. Os invasores acionaram solicitações de MFA e, em seguida, ligaram para a vítima, fingindo ser uma organização confiável. Por telefone, convenceram o funcionário a aceitar uma solicitação de MFA, obtendo assim acesso aos sistemas internos da Cisco, onde instalaram cargas de malware e comprometeram vários servidores.

Durante um incidente semelhante em 2022, a Uber foi vítima de um ataque de “fadiga de MFA” perpetrado pelo notório grupo de hackers Lapsus$. Os hackers obtiveram as credenciais de VPN de um prestador de serviços externo que trabalhava para a Uber (provavelmente adquiridas na dark web) e as utilizaram para gerar solicitações de MFA. Quando o prestador de serviços inicialmente ignorou as solicitações, os hackers entraram em contato com ele pelo WhatsApp, se passando pela equipe de suporte da Uber e instruindo-o a realizar a autenticação. Em pouco tempo, os hackers obtiveram acesso a vários sistemas internos, acabando por conquistar permissões elevadas para ferramentas como o G-Suite e o Slack.
 

Combate a um ataque de phishing por meio de tecnologia e treinamento
O phishing é um desafio complexo, que exige um esforço conjunto dos departamentos de TI e RH da sua empresa, pois ocorre na interface entre a tecnologia e o comportamento humano. Os CIOs/CISOs e os líderes de RH devem adotar uma abordagem holística na qual pessoas, processos e tecnologia estejam alinhados. Aqui estão os pilares dessa abordagem:

Treinamento de conscientização sobre segurança
Os funcionários precisam de treinamento contínuo sobre as técnicas mais recentes de phishing e as melhores práticas para reconhecer e responder a atividades suspeitas. No caso dos ataques de “fadiga de MFA” contra a Uber e a Cisco, por exemplo, as empresas poderiam ter evitado as violações ensinando especificamente a seus funcionários e parceiros externos como identificar uma tentativa de phishing relacionada à autenticação multifatorial (MFA).

Práticas de MFA resistentes a ataques de phishing
Métodos de MFA de última geração, como a autenticação FIDO2/WebAuthn, códigos QR e tokens físicos, ajudam a reduzir a superfície de ataque da sua empresa. Exigir que o usuário realize uma ação para autenticar sua intenção de fazer login também reduz o risco de ataques de “fadiga de MFA”, nos quais o usuário pode aceitar uma solicitação simplesmente para interromper uma enxurrada de notificações push acionadas por um invasor.

Práticas de senhas seguras
Implemente políticas rigorosas de senhas que proíbam alterações incrementais (de um caractere) e exijam senhas fortes e exclusivas.

Avaliações de risco de phishing
Trabalhe com um parceiro especializado em segurança cibernética para avaliar regularmente o risco de phishing da sua empresa e realizar simulações de ataques de phishing. Isso permite que você identifique pontos fracos e corrija vulnerabilidades.

Estrutura de confiança zero
Implemente uma abordagem de confiança zero que exija verificação em cada etapa, minimizando a superfície de ataque.
Não deixe que os autores de ataques de phishing levem vantagem. Certifique-se de que sua equipe esteja atualizada e proteja sua empresa.
 

A proteção da sua empresa contra um ataque de phishing depende de
A proteção da sua empresa contra um ataque de phishing depende da sua capacidade de conscientizar os funcionários, promover os comportamentos adequados e implementar tecnologias seguras.

As empresas sempre terão que lidar com o risco representado por aquela pequena minoria de funcionários que não cumpre as políticas de segurança. Isso significa que proteger sua empresa contra o phishing é uma questão de minimizar os riscos, e não de eliminá-los completamente. Ainda assim, com uma avaliação robusta dos riscos de phishing e medidas de prevenção adequadas em vigor, você coloca sua organização no caminho para um futuro muito mais seguro. Saiba como a Getronics Security Services pode ajudá-lo a proteger sua empresa.