Minimizando os Riscos que Circulam na Grande Rede
Para minimizar os riscos cibernéticos, é essencial que todos os funcionários dentro de uma organização passem a entender que ambos são um ativo e um passivo potencial de segurança. Depois de instituir esses programas, as chances são muito altas de que a maioria dos funcionários saberá que não deve abrir o anexo de e-mail da "advogada nigeriana", que afirma que eles são beneficiários de uma grande fortuna ou mesmo que não devem, em hipótese alguma, clicar um link de e-mail dizendo ser do seu banco, pedindo-lhes para confirmar suas credenciais de acesso.
E como grande parte das pessoas sabe (e muito bem), os bancos não costumam mandar e-mails solicitando quaisquer tipos de informações, principalmente se forem altamente confidenciais. A parcela de indivíduos que ainda não tem esse conhecimento, é presa fácil para que os cybercriminosos possam aplicar ser golpes e obter sucesso em suas investidas.
Alertas Tradicionais Porém Necessários
No passado, programas de conscientização de segurança foram simplesmente obrigados a se concentrar em phishing e-mail e site spoofing threats, oferecendo as melhores práticas, tais como:
• Não abrir anexos de pessoas que você não conhece;
• Não abrir anexos de pessoas que você conhece, mas de quem você não está esperando receber um determinado tipo de arquivo;
• Não siga links de sites de e-mail de remetentes desconhecidos;
• Verifique a convenção de nomenclatura do site/link, para melhor garantir que eles estão direcionando-o para um site legítimo.
Infelizmente, o ataque a uma variedade de sites da NBC no ano passado, comprova que os funcionários não estão mais a salvo de ameaças de malware drive-by, ao visitar sites de boa reputação. No caso do ataque NBC, os cybercriminosos tinham incorporado elementos maliciosos invisíveis em diferentes sites pertencentes à emissora. Para evitar a detecção, esses elementos passaram a se locomover de forma periódica. Portanto, quando um usuário clicar sobre eles, um RedKit recebe um "called" para direcionar o computador com até três diferentes kits exploit, incluindo a kit de ferramentas de crimeware Citadel, que é projetado para roubar informações financeiras.
O RedKit, inicialmente verificava se o usuário estava executando versões desatualizadas do software ou plug-ins. Se detectado qualquer software desatualizado, a vulnerabilidade era fortemente explorada, com a intenção de instalar software malicioso no computador do usuário.
Crescimento de Ataques do Tipo Drive-by
Vale ressaltar que estes tipos de ataques drive-by estão crescendo cada vez mais, porque kit exploits permitem que cybercriminosos possam comprometer sites tão facilmente acessíveis no mercado negro. Eles são muito sofisticados e automatizados, o que torna mais fácil para os cybercriminosos escalarem seus ataques através do maior número de servidores web o quanto possível. Além disso, a crescente complexidade dos ambientes de navegador adiciona à propagação de drive-by downloads. Como o número de plug-ins, add-ons e versões crescentes dos browsers, há mais pontos fracos para crackers explorarem e adicionarem à sua lista de explorações.
Como resultado, os usuários que simplesmente navegam na Internet podem, inadvertidamente, tropeçar em um site comprometido, o que pode parecer completamente normal. Por uma questão de fato, os cyberataques, muitas vezes especificamente tem como alvo sites muito conhecidos e de alta popularidade, uma vez que os usuários confiam que estes sites estão sendo mantidos livres de malware.
Além disso, muitos ataques drive-by são lançados após a liberação de novos patches de segurança para aplicações comuns, como é o caso do Acrobat e daqueles que são executados na plataforma Java. Uma vez que os fabricantes lançam um patch, os cybercriminosos usam as informações para a engenharia reversa, revelando a vulnerabilidade subjacente. Como conseqüência disso, os usuários que não atualizam rapidamente seu software continuam altamente vulneráveis a ter seu computador infectado por malware. Isso pode, naturalmente, conduzir a sua informação pessoal identificável que está sendo roubada, às atividades registradas, e seu computador acaba tornando-se parte de uma botnet.
Desatualização Favorece Ação Cybercriminosa
Uma vez que muitos usuários não conseguem atualizar o ambiente Java em tempo de execução instalado em seus computadores, erros relacionados ao Java vão se tornando cada vez mais populares e eficazes para que os cybercriminosos possam colocar em prática seus ataques. No início deste ano, os criminosos transformaram os ataques drive-by em um nível mais alto, fazendo um front-ending com robocalls. Esses processos automatizados, pediram que vítimas pudessem visitar o site de um provedor de telefonia sem fio líder norte-americana, ganhando centenas de dólares em recompensas. Desde que o site tinha havia sido comprometido, até mesmo usuários cautelosos foram vítimas, levando a credenciais de acesso roubados.
Então, o que pode ser feito para minimizar o risco de estas novas técnicas de ataque?
De maneira bastante lógica, as melhores práticas fundamentais é manter o software em endpoints até à data e também desabilitar o Java, que é um dos vetores de ataque mais populares para muitos cybercriminosos. Além desses passos essenciais, as organizações devem estender seus esforços de realização de diagnóstico. O cracking que aconteceu contra a NBC provou que as medidas tradicionais de segurança de perímetro, muitas vezes não protegem contra ataques drive-by. Dessa forma, a análise post-mortem do ataque mostrou que a versão específica do Citadel que foi usado, só foi reconhecida por três dos 46 programas antivírus disponíveis no momento a partir do Virustotal.com.
Monitoramento para Evitar Ataques
Para limitar o risco de ter ataques drive-by de malware plantadas em seus sites, as organizações devem monitorar a carga de suas propriedades de Internet diferentes, o que para as grandes organizações pode, facilmente, tornar-se uma grande empresa. Ao fazer isso, no entanto, é possível detectar os primeiros sinais de um ataque em andamento e tomar medidas para reduzir a ameaça. Desde que os ataques drive-by são considerados apenas uma das muitas técnicas de ataque, o monitoramento de dados de carga útil deve ser parte do programa de diagnóstico contínuo da organização.
Isto implica em um aumento significativo da frequência das avaliações de dados, e requer automação de dados de segurança através da agregação de informações relevantes e normalização de uma variedade de fontes, tais como informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de ativos, feeds threat e scanners de vulnerabilidade. Por sua vez, as organizações podem reduzir os custos unificando soluções, agilizando processos, criando consciência situacional para expor exploits e ameaças em tempo hábil, e realizar coleta dados de tendências históricas, que podem ajudar na segurança preventiva.
Ataques Drive-by Pharming
A Symantec alertou, em janeiro de 2008, que ataques do tipo Drive-by Pharming, assi conceituados incialmente pelos pesquisadores da empresa, foram utilizados por criminosos para alterar as configurações de um roteador popular no México e redirecionar os usuários de um dos maiores bancos do país para um servidor malicioso. Este servidor roubava os dados enviados pelas vítimas.
O façanha acontecia da seguinte forma: os cybercriminosos enviaram e-mails em massa contendo uma "imagem" que apontava para o endereço local do roteador/modem ADSL. O alvo do ataque foi um equipamento largamente usado no México, que possuá uma falha grave e que facilitou a realização do ataque. Quando um usuário que possuísse este modelo de roteador/modem abrisse o e-mail, a configuração do aparelho era modificada para que os cybercriminosos pudessem controlar o serviço de DNS, que é responsável pela "tradução" em endereços nos quais os computadores podem se conectar.
Usuários Direcionados para Controle dos Cybercriminosos
Porém, se o usuário visitasse o site do banco alvo, a interpretação feita pelo servidor malicioso apontava para um computador controlado pelos cybercriminosos. Como resultado, qualquer informação enviada ao banco, sob a perspectiva do usuário, estava na verdade sendo enviada diretamente aos realizadores do ataque. Nesse contexto, o pesquisador da Symantec Zulfikar Ramzan, declarou, na ocasião, que o ataque era fácil de ser realizado. Ramzan disse que ficou muito surpreso pelo ataque ter levado tanto tempo para acontecer, mais de um ano desde a primeira vez que ele percebeu a possibilidade deste tipo de golpe.
De acordo com as considerações executivas, qualquer modem ou roteador pode ser alvo do Drive-by Pharming. Neste caso, uma vulnerabilidade de segurança no equipamento facilitou com que o golpe fosse bem sucedido. Considerando-se que um equipamento não tenha uma falha deste gênero, apenas é necessário que a senha do modem seja alterada para alguma senha diferente do padrão, e os criminosos não irão conseguir fazer a alteração nas configurações.
Saiba Mais:
[1] Security Week http://www.securityweek.com/internet...-drive-attacks