Há alguns dias tive a oportunidade de conversar com um profissional de segurança da informação, que trabalha há mais de 18 anos em empresas que estão sempre no topo da lista de alvos de hacktivismo. Resumindo: nunca aprendi tanto em tão pouco tempo e nunca percebi tão claramente a visão desses profissionais e as preocupações que tem no dia a dia.
Uma das histórias que esse profissional me contou (e confesso que pesquisei muito) foi do roubo de cotas de carbono, em que algumas empresas européias tiveram milhões de euros roubados após um ataque que deveria virar um filme no melhor estilo “Hollywoodiano”. O chamado EU Carbon Trading Scheme (Regime de Comércio de Carbono na União Européia) ainda não opera 100% por conta disso. As empresas afetadas, entre elas a CEZ – um conglomerado de empresas com sede na República Tcheca para fornecimento de eletricidade para o sudoeste da Europa, tiveram milhares de cotas transferidas para “bogus accounts” em diversos países europeus, resultado de ataques cibernéticos muito bem articulados e usando o ponto mais fraco de qualquer esquema de segurança de rede – o ser humano. No momento crucial do ataque (quando haveria possibilidade de serem detectados), houve uma ligação sobre um atentado a bomba e o prédio do órgão regulador desse comércio (em Praga) foi evacuado – incluindo profissionais de monitoração de segurança. No dia seguinte o registro da República Tcheca percebeu: algumas cotas sumiram… Sim!!! Foi cinematográfico!!
Por mais que se invista (e MUITO) em tecnologias de detecção e prevenção de intrusos, firewalls, criptografia, autenticação de fator duplo (até triplo), dentre outros, o principal causador de hacktivismo criminoso, mesmo que indiretamente, ainda é o usuário.
Como no caso do EU Carbon Trading Scheme outros ataques tem sido feitos utilizando engenharia social e spear phishing, alvejando profissionais de alta gerência com acesso à informações privilegiadas. Em alguns casos, funcionários com menor nível de acesso à esse tipo de informação são alvejados para serem usados de intermediários na obtenção de contatos de funcionários com maior nível de acesso. O ataque de spear phishing é muito sofisticado, com e-mails muito bem escritos que aparentam vir de fontes confiáveis (geralmente da mesma empresa/organização e de funcionários de nível hierárquico mais alto) e direcionando a algum website ou contendo arquivos anexos com malware.
Após a infecção, os hackers podem praticar o chamado shoulder surfing (em tradução livre: navegação por cima do ombro) e observar por dias, semanas ou meses a atividade do profissional, infectar outras máquinas e obter informações estratégicas sem que a vítima saiba e indetectável por anti-virus, firewalls, etc. Após colher informações, esses grupos podem articular a fase mais assiscada da operação que é a extração dos dados. Nessa fase, é onde há a maior probabilidade dos sitemas de monitoração detectarem a atividade anormal.
Como evitar (ou diminuir) esse tipo de ataque? A resposta também está no usuário.
Com o crescimento de pessoas usando redes sociais, também cresce o volume de informação que é colocada nesse tipo de site, incluindo informações privadas e que dão munição aos grupos que utilizam técnica de spear phishing. Redes sociais como Linkedin também são fonte de informação e podem ser utilizadas para ter uma visão sobre a hierarquia de uma empresa. Com base nessas informações, é mais fácil criar um e-mail que vai empelir “a vitima” a tomar ação e ser infectada.
Há tecnologias de sandbox utilizadas para criar um ambiente seguro e segregado no computador do usuário ao abrir arquivos anexos em e-mails e previnir malwares de serem instalados na máquina e terem acesso à rede. Entretanto, além do investimento nesse tipo de tecnologia, os usuários tem que ser conscientizados, embora essa tecnologia não impeça usuários a acessarem sites e colocarem informações de usuário e senha, por exemplo: um dos objetivos desse tipo de ataque.
Uma boa e constante iniciativa de conscientização dos usuários, aliada a pesquisa e implementação de novas tecnologias de prevenção e detecção de ataques é o que toda empresa que se preocupa com segurança de informação deveria investir. Mas sempre colocando em mente que nunca estaremos 100% seguros…