• Cybercriminosos e Exploração do Psicológico dos Usuários

    Durante a Conferência RSA 2015, a Proofpoint divulgou os resultados de seu estudo anual que detalha as formas a partir das quais os atacantes exploram a psicologia dos utilizadores finais para burlar a segurança de TI. O ano passado foi o ano em que os atacantes resolveram mudar as suas táticas, para concentrar suas atividades maliciosas sobre as empresas ao invés de fazer uma investida contra os consumidores, explorando a sobrecarga de gerenciamento dos meios de compartilhamento de informações, e substituindo o volume dos ataques pela sofisticação, ou seja, ataques em menor quantidade porém com um nível de qualidade mais alto, mais preciso e mais difícil de ser detectado. Nesse contexto, é importante observarmos que o comportamento humano, e não simplesmente as vulnerabilidades do sistema ou software, tem implicações significativas para a segurança da empresa. Os principais resultados deste levantamento incluem que toda organização é propensa a clicar em alguma coisa. Em média, os usuários clicam em uma a cada 25 mensagens maliciosas que são entregues, e assim, nenhuma organização observada foi capaz de dar um freio nessa mania de clicar em links maliciosos. Além disso, a média gerencial é um alvo maior.


    Representando uma mudança acentuada a partir de 2013, quando os gerentes foram menos frequentemente alvo de e-mails maliciosos, em 2014 eles, efetivamente, dobraram suas taxas de cliques em relação ao ano anterior. Além disso, os gerentes e funcionários clicaram em links maliciosos em mensagens duas vezes mais frequentemente do que os executivos. Já os setores de Sales, Finance e Procurement tem uma situação bem mais séria. Essa "Supply Chain" abriu portas para atividades nefastas quando a quantidade de cliques em links em mensagens maliciosas passou a variar entre 50-80 por cento com mais freqüência do que a taxa média de cliques por departamento.


    Curiosidade e Negligência Favorece Rapidez nos Cliques

    As organizações não tem mais semanas ou até dias para encontrar e parar os e-mails maliciosos, porque os atacantes estão atraindo cerca de 2,3 até 4 usuários finais a clicar em mensagens maliciosas no primeiro dia, e até o final da primeira semana, 96 por cento de todos os cliques pretendidos já ocorreram. Em 2013, apenas 39 por cento dos e-mails foram clicados nas primeiras 24 horas; no entanto, em 2014, esse número aumentou para 66 por cento. Os ataques estão ocorrendo principalmente durante o horário comercial. A maioria das mensagens maliciosas são entregues durante o horário comercial, com um pico na terça-feira e na quinta-feira pela parte da manhã. A terça-feira é o dia mais ativo para clicar, com um registro de 17 por cento a mais de cliques do que os outros dias da semana.

    Mesmo que os usuários aprendam a lidar com as práticas criminosas e se livrar das possíveis armadilhas que os espera, os atacantes se adaptam mais rápido e além de tudo o que os usuários podem aprender. O uso de mídia social aliado aos convites isca, que eram os mais populares e eficazes tipos de e-mail em 2013, diminuiu 94 por cento no ano de 2014. Esses e-mails isca que utilizam anexos ao invés de URLs, como a notificação de mensagens e alertas financeiros corporativos, aumentou significativamente como um vetor de ataque. Durante dias selecionados no ano de 2014, a Proofpoint observou que ocorreu um aumento de 1.000 por cento em mensagens com anexos maliciosos sobre o volume normal. As iscas de email mais populares de 2014 incluíram: e-fax e mensagens de voz, notificações e alertas financeiros corporativos e pessoais.


    Implementação Defensiva de Forma Eficaz

    A pesquisa "Human Factor" ratifica o valor crítico de ameaça das informações e fornece insights sobre como, quando e onde os ataques estão ocorrendo. Essa declaração foi feita por Kevin Epstein, vice presidente da Advanced Security & Governance da Proofpoint. A única defesa eficaz a ser implantada é uma defesa "em camadas", uma defesa que reconhece que é necessário implementar planos para o fato de que algumas ameaças ser mais penetrantes e mais invasivas. Há sempre alguém que clica em links e mensagens suspeitas, o que significa que as ameaças chegarão aos usuários de alguma forma. Dessa forma, a abordagem da Proofpoint é muito eficaz porque o sistema pode determinar quem os usuários são, onde eles estão, e o que está acontecendo em tempo real, além de proteger ativamente as organizações com respostas em tempo real e ameaças automatizadas.


    Menos Impulsividade Ajuda a não Clicar em Qualquer Mensagem

    Um aparentemente inofensivo site da Internet ou uma mensagem de phishing sempre vai tentar enganar as suas vítimas para descobrir informações pessoais, parecendo ser oriundo de uma fonte confiável, como, por exemplo, um banco, uma rede social ou mesmo o Google. Se a pessoa receber uma mensagem suspeita, ela jamais deve fornecer as informações solicitadas. E por mais que vários alertas sobre esses golpes de phishing sejam feitos todos os dias, mesmo assim, muita gente ainda se deixa levar pela curiosidade e senta o dedo no link atrativo. O resultado disso geralmente é prejuízo e transtorno, pois a pessoa acaba caindo em um golpe. Dessa forma, é importante que todos saibam reconhecer um golpe de phishing e manter sua conta segura. Pensar antes de clicar ajuda a prevenir danos e livra a pessoa das armadilhas cybercriminosas. Por isso, é necessário prestar muita atenção às telas de login, porque os cybercriminosos podem usar links em e-mails, tweets, postagens e anúncios on-line para direcioná-lo a telas de login falsas, onde podem roubar as senhas de suas vítimas. Portanto, só faça login em sua conta quando tiver certeza de que visitou o site real da empresa ou instituição em questão. Para ter certeza, verifique o endereço da Internet do site que você deseja acessar.


    Redobrando Cuidados com Mensagens Suspeitas

    As pessoas sempre devem ter muito cuidado com mensagens que solicitem suas informações pessoais ou com mensagens que encaminhem-nas a uma página da Web solicitando esses detalhes. Portanto, sempre que receber esse tipo de mensagem, especialmente de uma fonte alegando ser o Google ou o Gmail, não forneça de forma alguma as informações solicitadas. Instituições financeiras, principalmente bancos, nunca enviam mensagens não solicitadas pedindo sua senha ou informações pessoais, nem mensagens contendo anexos executáveis, pois isso seria tremenda irresponsabilidade, falta de ética e exposição dos dados confidenciais dos clientes, favorecendo a ação dos criminosos que estão sempre de olho em todas as oportunidades das quais puderem tirar proveito. As mensagens maliciosas ou mensagens de phishing, geralmente solicitam nomes de usuário e senhas; números da previdência social; números de contas bancárias; números de identificação pessoal; números de cartões de crédito; o nome de solteira da sua mãe e data de aniversário.


    Cuidado com as Práticas de Engenharia Social

    A engenharia social descreve um método de ataque, onde alguém faz o uso da persuasão, muitas vezes abusando da ingenuidade ou da confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou tirar proveito de dados sigilosos. Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O último exemplo apresenta um ataque realizado por telefone. No primeiro exemplo, a pessoa recebe uma mensagem de e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum tipode problema e que isso pode ser corrigido caso a pessoa execute o aplicativo que está anexado à mensagem. A execução do referido aplicativo apresenta uma tela muito parecida com aquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para roubar a sua senha de acesso à conta bancária e enviá-la para o cybercriminoso colocar em prática suas atividades nefastas. Situações desse tipo nos mostra, de forma muito clara, ataques típicos de engenharia social, devido aos discursos apresentados que fazem de tudo para persuadir o usuário a realizar alguma tarefa. além disso, o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.

    Além de tudo isso, é válido lembrar a todos que a Autoconfiança, facilidade de comunicação, aptidão profissional e grande capacidade de persuasão são características marcantes de um engenheiro social. E assim, muitas vítimas de ataques afirmam que mal sabem que passaram informações que não deveriam devido ao talento da pessoa com quem elas conversaram, e esse caso não é tão improvável quanto podemos imaginar. Pelo contrário, pois ocorrências desse tipo são mais comuns e ainda há muitas pessoas vulneráveis a cair na lábia desses indivíduos ardilosos. Portanto, práticas de phishing e ataques através de redes sociais acontecem praticamente todos os dias. E com o passar do tempo é que nós conseguimos identificar com uma certa facilidade aquele e-mail que solicita nossa "alteração cadastral", ou que vem dizendo que precisamos mudar nossa senha bancária conforme a política de segurança.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=18271

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L