Quando falo com executivos após um ataque cibernético, a primeira reação geralmente é uma busca introspectiva para responder às perguntas do tipo “por quê”. Por que os agentes cibernéticos escolheram me atacar, nossa organização, esta cultura? A verdade é que é difícil entender a razão. Claro, existem as motivações padrão de ganho financeiro, roubo de propriedade intelectual, espionagem corporativa, sabotagem, fama ou ativismo político. Mas por que eu? Por que nós?
A maioria dos ataques cibernéticos não é particularmente sofisticada no uso de ciência da computação avançada ou mecânica quântica. Eles podem ser inteligentes em sua capacidade de parecer autênticos ou atrair emoções. Mas, na realidade, os ataques cibernéticos fazem parte de uma linha de montagem rudimentar e sua organização pode ter sido apenas o último alvo em uma sequência interminável.
Tem sido relatado com frequência que, para 9 em cada 10 ataques cibernéticos, a causa raiz do dano pode estar ligada ao phishing. Simplificando, o phishing é uma tentativa de levar alguém a realizar uma ação que involuntariamente causa danos. Esses ataques são fáceis de configurar, econômicos e eficazes. Para montar campanhas de phishing, os invasores precisam de alvos humanos, representados por endereços de e-mail. Os invasores adquirem esses endereços, armazenam eles em um banco de dados e começam a enviar ataques. O objetivo é conseguir cliques.
O phishing está mais relacionado com volume do que com direcionamento. Estar no banco de dados do ataque faz de você um alvo perpétuo para qualquer campanha de phishing desse agente ou grupo organizado. Minha experiência na Agência de Segurança Nacional, e a pesquisa de minha equipe em outros estados-nação, organizações criminosas e afins, mostrou que os atores cibernéticos transformam suas operações em linhas de montagem. Diferentes equipes são responsáveis pela segmentação, lançamento e execução, métodos de exploração técnica, atividades no alvo, análise e exploração pós-campanha. Há pouco esforço para otimizar essas linhas de montagem ao longo do tempo, especialmente quando os invasores obtêm sucesso.
A equipe Cloudforce One realizou uma extensa pesquisa sobre como uma campanha de phishing relativamente simples pode causar sérios danos no longo prazo a várias organizações. Investigamos uma campanha de ataque lançada no dia seguinte à eleição presidencial nos EUA em 2016 por um grupo de espionagem russo chamado RUS2, um grupo que visa organizações políticas.
Ao reconstruir o banco de dados de destino, descobrimos que os alvos de phishing incluíam não apenas funcionários do governo atual, mas também ex-funcionários e associados políticos. Os indivíduos visados continuaram a receber e-mails de phishing por meio de seus endereços de e-mail pessoais muito depois de terem mudado de emprego. Alguns indivíduos estavam no banco de dados há quase 10 anos na época do ataque de 2016 e continuam sendo alvos até hoje.
Isso sim interessa.
Nomes, números de telefone e endereços de e-mail comprometidos permanecem indefinidamente nos bancos de dados de phishing. Quer os e-mails sejam devolvidos ou os destinatários não mordam a isca, os invasores não se preocupam em limpar suas listas. Depois de se tornar alvo de um ataque de phishing, você pode permanecer como alvo indefinidamente.
Para corporações e agências governamentais, a persistência de informações de contato em bancos de dados de phishing adiciona uma camada extra de perigo. Quando um indivíduo-alvo muda de emprego, essa pessoa coloca em risco sua nova organização, abrindo um novo vetor para a rede desta nova organização.
Dada a simplicidade e a eficácia do phishing, os invasores cibernéticos vão continuar a usar essa tática no futuro previsível porque ela é eficaz. Não há muito que possamos fazer para impedi-los de tentar. Mas, podemos impedi-los de ter sucesso.
Temos que presumir que esse risco está sempre presente e que cada indivíduo é um potencial ponto de entrada.
Nos últimos 20 anos da minha carreira, trabalhando na Agência de Segurança Nacional e no Comando Cibernético dos Estados Unidos e desenvolvendo tecnologia usada para prevenir ataques de phishing, descobri que a melhor maneira de mitigar o impacto dos esquemas de phishing é adotando uma estratégia de segurança Zero Trust. A segurança de rede de TI tradicional confia em qualquer pessoa e qualquer coisa dentro da rede: uma vez que um indivíduo ou dispositivo obtém acesso à rede, esse indivíduo ou dispositivo é confiável por padrão.
Com o Zero Trust, você não confia em ninguém e em nada. Ninguém jamais tem acesso totalmente irrestrito e confiável a todos os aplicativos ou outros recursos em uma rede.
A melhor abordagem Zero Trust é multicamadas. Por exemplo, como primeira linha de defesa, você pode caçar preventivamente a infraestrutura de phishing e bloquear campanhas antes que os usuários possam clicar em links maliciosos em textos ou e-mails. Você também pode usar a autenticação multifator (MFA) com segurança baseada em hardware para proteger as redes, mesmo que os invasores obtenham acesso a nomes de usuário e senhas. Você pode aplicar o princípio do privilégio mínimo para garantir que os hackers que passam pelos controles de MFA possam acessar apenas um conjunto limitado de aplicativos. E você pode particionar a rede com microssegmentação para conter quaisquer violações antecipadamente.
Na Cloudflare, impedimos um ataque de phishing no ano passado usando MFA com chaves de segurança de hardware como parte de nossa abordagem Zero Trust multicamada. O ataque começou quando vários funcionários receberam uma mensagem de texto que os levou a uma página de login da Okta de aparência autêntica, projetada para coleta de credenciais. O invasor tentou fazer login nos sistemas da Cloudflare usando essas credenciais roubadas junto com códigos de senha de uso único baseada em tempo (TOTP), o ataque exigia que os funcionários participassem do processo de autenticação. Infelizmente para o invasor, a Cloudflare já havia feito a transição de TOTP para chaves de hardware.
Se as chaves de hardware não estivessem implantadas, outras medidas de segurança teriam impedido o ataque de atingir seu objetivo, mas, felizmente, a ameaça não chegou tão longe. Nossa equipe de resposta a incidentes de segurança bloqueou rapidamente o acesso ao domínio usado para a página de login falsa e, em seguida, eliminou sessões ativas e comprometidas usando nosso serviço acesso à rede Zero Trust. Se o invasor tivesse de alguma forma chegado ao ponto de instalar software malicioso, a segurança de endpoints que usamos teria interrompido a instalação. Uma estratégia multicamadas como esta ajuda a garantir que, mesmo que um aspecto de um ataque seja bem-sucedido, o ataque em si não causará danos substanciais.
Os ataques cibernéticos chegam até você muito rápido, mas quando você para para olhar em volta, eles não evoluem significativamente.
Como você os impede de ter sucesso?
Primeiro, certifique-se de ter controles anti-phishing sólidos. Nem todos os controles de MFA têm o mesmo nível de eficácia, portanto, adote um MFA resistente a phishing e implemente a aplicação seletiva usando identidade e políticas centradas no contexto. Aplique autenticação forte em todos os lugares para todos os usuários, todos os aplicativos e até para sistemas legados e não web. Por fim, certifique-se de que todos estejam na “equipe cibernética”, estabelecendo uma cultura paranoica e livre de culpa que relata atividades suspeitas com antecedência e frequência.
Há pouco que podemos fazer para evitar phishing, mas há muito que pode ser feito para evitar os danos. Com uma abordagem Zero Trust, você pode ajudar a garantir que, da próxima vez que a linha de montagem de phishing enviar um e-mail para o seu endereço, ele não cause nenhum dano. Saiba mais sobre a plataforma Cloudflare Zero Trust de várias camadas.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Oren Falkowitz — @orenfalkowitz
Diretor de segurança, Cloudflare
Após ler este artigo, você entenderá:
Depois que suas informações pessoais são obtidas, elas permanecem indefinidamente no banco de dados dos invasores
Os ataques de phishing fazem parte de uma linha de montagem rudimentar
Pouco pode ser feito para evitar phishing, mas há muito que pode ser feito para evitar os danos.