O Impacto de um Phishing

O Impacto de um Phishing

abril 12, 2021 0 Por Abraão Dias

Os Phishing são classificados na categoria de ataques de engenharia social, onde o objetivo é utilizar a persuasão e contar com a ingenuidade ou confiança de um usuário para obter informações sensíveis ou credenciais válidas para acessos a sistemas pessoais/corporativos. No caso do Phishing tudo se inicia por um simples e-mail.

Nesse cenário, o primeiro ponto de defesa, e muitas vezes até o único, é o usuário que recebe o e-mail. O fato dele interagir ou não com a mensagem maliciosa pode ser o divisor de águas entre um dia comum e o início de um ataque maior. Você tem ideia do impacto?

Como os ataques ocorrem

Tudo começa com um simples e-mail, porém antes de enviar o atacante geralmente coleta informações sobre a empresa/pessoa, utilizando as redes sociais: LinkedIn, Facebook, Twitter entre outras fontes públicas.

Outro ponto que é levado em consideração são assuntos que estão em alta e fazem sentido para aquele contexto, analisando o usuário alvo. Pode ser levado em consideração temas como: política, religião, esporte etc. Já no âmbito corporativo pode ser utilizado informações sobre a saúde financeira da empresa, aquisição por algum grupo concorrente, ou comunicado interno sobre alguma definição que estava em pauta, entre outras possibilidades.

Com esse levantamento o atacante costuma ter informações suficiente para compor um e-mail que induza os alvos a clicarem em uma URL ou baixar e executar algum software malicioso.

Exemplo de um cenário real: O usuário recebe um e-mail informando que houve uma atualização no portal de VPN da empresa e que o mesmo deve clicar urgentemente na URL que está presente no corpo do e-mail para atualizar seu cadastro e manter sua conexão remota funcional. Porém ao clicar na URL ele será redirecionado para um site controlado pelo atacante e quando digitar seu usuário e senha essas informações serão capturadas.

Impacto

Seja pelo cenário citado ou através de outras técnicas, uma vez que o atacante possui as informações sobre as credenciais para acesso ao portal de VPN, por exemplo, em muitos casos ele conseguirá configurar o cliente VPN na máquina dele e acessar com a conta que foi comprometida através do Phishing. Uma vez conectado na VPN, aos olhos dos sistemas internos, ele é um usuário valido que pode consumir os serviços da rede.

A partir desse ponto o atacante costuma utilizar técnicas para movimentação lateral e escalar privilégios. Todo o desenrolar dos próximos ataques vão depender de como a segurança do ambiente foi implementada, porém muita das vezes a pessoa que cai no Phishing pode ser algum gerente ou até mesmo administrador do ambiente que já possui certos acessos que seriam extremamente críticos e podem expor dados como: Informações internas sobre a empresa, informações de clientes, contratos jurídicos, propostas comerciais entre outras.

No pior cenário se o atacante tiver êxito em escalar privilégios, ele pode comprometer toda a rede, como controlar o Active Directory que costuma ser o centralizador de autenticação. Daqui ele pode migrar para a conta de qualquer usuário ou controlar outros sistemas críticos da empresa como os serviços de e-mail, SAP, Sales Force, Banco de dados entre outros. Com esse nível de acesso, extrair as informações para uma rede externa costuma ser extremamente fácil.

Quando chega nesse ponto, vale a reflexão que através de um simples e-mail, alguém externo de qualquer lugar do mundo com acesso à internet poderia comprometer uma rede inteira de uma empresa, onde o impacto é imensurável. Todas as informações que podem ser extraídas e compartilhadas publicamente ou até mesmo deletadas, podem ser criptografadas para pedir resgate entre outras possibilidades.

Essas são ações que costumam levar a perdas financeiras astronômicas, além de gerar um impacto na imagem da empresa diante do mercado e até risco legais, uma vez que algum cliente poderia processar por ter seus dados expostos sem sua autorização.

Dicas simples para a prevenção de Phishing:

– Implementar campanhas de Phishing, onde a ideia é simular e-mails maliciosos, porém controlados pelo time de segurança da informação, com objetivo de treinar os usuários para situações parecidas e evitar que eles caiam em um ataque real.

– Contratar parceiros para execução de Pentest, onde a ideia é ter uma visão real de até onde uma pessoa externa poderia comprometer a rede da empresa e expor informações confidenciais, sendo que durante o Pentest uma das técnicas utilizada será o Phishing. Porém aqui você pode ter uma ideia completa do impacto, pois o Pentester irá conduzir o ataque até o final, a diferença é que ele fará de uma forma ética, sem expor as informações da empresa e irá informar todos os pontos de falhas e como iniciar a mitigação.

– Uma boa linha de pensamento é sempre arquitetar segurança sob camadas, então tenha em mente implementar soluções como: Múltiplos fatores de autenticação, Antispam, Filtro de conteúdo, AntiVirus, EDR, SIEM, Cofre de Senhas entre outras. Todas essas soluções devem ser implementadas para dificultar o sucesso do ataque uma vez que uma conta foi comprometida.  

Caso queira saber mais informações e orientações de como se proteger e realizar uma análise de risco, entre em contato com nosso time técnico e saiba como podemos apoiá-los.

Conclusão

Ataques de Phishing são mais comuns do que parecem e costumam ter uma média alta de sucesso, por isso é extremamente importante planejar e impor técnicas de segurança para diminuir a superfície do ataque.