A tática de ataque spear phishing (e-mails maliciosos direcionados) é
uma das formas mais eficazes de invadir uma rede corporativa, e estudos
recentes mostram que os funcionários podem ser facilmente enganados nas
mídias sociais para fornecer as informações necessárias para o
lançamento de ataques.
Um ataque de phishing só é bom quando os crackers são capazes de
reunir informações da vítima pretendida, que é menos propensa a clicar
em um link malicioso ou em um anexo dentro de um e-mail que não parece
vir de um remetente confiável. Como resultado, os criminosos, muitas
vezes, pesquisam sobre os seus alvos na web.
Por exemplo, a Websense Security Labs recentemente identificou um
perfil no LinkedIn falso coletando informações que poderiam ser usadas
em futuros ataques.
O resumo do perfil finge pertencer a "Jessica Reinsch", uma
funcionária inventada que diz trabalhar em um site legítimo de
relacionamentos e que conecta jovens mulheres com homens mais velhos e
ricos. O site é baseado na Suíça.
A Websense não encontrou nenhum código malicioso no site, mas
encontrou domínios relacionados que hospedavam "códigos suspeitos". Além
disso, os IPs usados para hospedar o site estão no mesmo número de
sistema autônomo (ASN) como múltiplas URLs de comando e controle de kits
de exploração, incluindo para o RedKit e Neutrino, de acordo com a
Websense.
Os perfis falsos possuíam mais de 400 conexões com membros legítimos
do LinkedIn, o que dá a quem quer que esteja por trás da conta acesso às
informações atuais de empregador, cargos e conexões na rede - que
possui mais de 250 milhões de usuários.
Jeff Debrosse, diretor de pesquisa em segurança da Websense, disse
que tais informações podem ser usadas para contruir um gráfico social de
indivíduos proeminentes que podem ser usados em ataques de spear
phishing.
"Isso vale um bocado de dinheiro para os compradores dessas informações", disse Debrosse à CSOonline.
Empresas advertem
Enquanto o reconhecimento de vítimas em potencial fica cada vez mais
sofisticado, as organizações parecem subestimar a ameaça. Quase 60% dos
300 executivos de TI, administradores e profissionais de empresas nos
EUA classificaram o phishingo como uma ameaça de impacto "mínimo", de
acordo com uma pesquisa da ThreatSim.
Enquanto classificarem o phishing como uma ameaça de nível baixo,
mais que um em quatro dos respondentes reportaram ataques phishing que
levaram a uma "violação material dentro do último ano". A ThreatSim
definiu "material" como infecção por malware, acesso não autorizado e
roubo de dados.
Durante uma apresentação na conferência de segurança RSA Europe, em
Amsterdã na semana passada, um especialista em cibersegurança descreveu
um experimento que mostrou a eficácia do uso de perfis falsos no
LinkedIn e no Facebook para lançar um ataque.
Aamir Lakhani, da prestadora de serviços em TI World Wide Tecnology,
descreveu como o perfil falso de uma mulher atraente chamada Emily
Williams foi usado para fazer com que empregados de uma agência não
identificada do governo dos EUA clicarem em um link que poderia
facilmente ter sido usado para uma infecção por malware.
O perfil falso que afirma ser Williams era uma nova contratação na
agência, com 28 anos de idade, dez de experiência e uma pós-graduação
no Instituto de Tecnologia de Massachusetts. Os pesquisadores
configuraram informações sobre a mulher em outros sites para fazer com
que o perfil parecesse mais confiável.
Em 15 horas da criação do perfil, Williams tinha 60 conexões no
Facebook e 55 no LinkedIn, com funcionários da agência. Após 24 horas,
ela tinha três ofertas de emprego de outras empresas.
O experimento apontou para a necessidade do treinamento contínuo nas
empresas para reduzir a possibilidade de funcionários se tornarem
vítimas de golpistas.
"No exército é chamado de consciência situacional", disse Lakhani ao
IDG News Service. "Precisamos desenvolver a consciência situacional para
este tipo de ataque."
Via: IDGNow
Nenhum comentário:
Postar um comentário