Nas últimas semanas, temos alterado a forma de trabalhar. O teletrabalho tornou-se, independentemente do setor, na única forma de dar continuidade ao negócio e esta nova forma de desenvolver a atividade laboral introduz novos riscos tecnológicos.

Desde o início desta pandemia global, algumas corporações têm estado na fila e outras têm sido pioneiras. Há empresas que fizeram o seu trabalho durante estes meses e asseguraram níveis de maturidade aceitáveis, em contrapartida, outras viram-se afetadas por ciberataques que lhes provocaram uma descontinuidade do negócio.

Não basta dispor de um dispositivo de utilizador com um antivírus com assinaturas atualizadas, essa medida está bem, mas só com isso a probabilidade de um adversário poder comprometer a organização continua a ser alta.

Hoje em dia, as ameaças sofrem mutações rapidamente, adaptam-se às novas proteções e formas de identificação de ataques. Os nossos adversários, bem como as divisões de cibersegurança jogam cada vez mais para ganhar, se a nossa organização for o alvo e não tiver as estratégicas de ciberdefesa adequadas, o mais provável é que o adversário consiga aceder à nossa estrutura e operar nela sem que estejamos cientes.

Como reagir aos ciberataques

As estratégias para reduzir a probabilidade de sucesso dos nossos adversários são conhecidas:

  • Cuidar da rede: Segmentação de redes, DMZ definida, VPN, Firewalls, Proxy, DNS interno.
  • Cuidar dos dispositivos de serviço: Manter o software atualizado.
  • Cuidar do dispositivo de trabalho: Antivírus, Antivírus com base no comportamento, EDR.
  • Educar o utilizador: Sensibilização e formação ao utilizador em cibersegurança.

A campanha comentada a seguir é um exemplo de como a tecnologia por vezes não é suficiente para cobre a deteção de alguns tipos de ataque e é necessária a intervenção humana para identificar e implementar com agilidade contínuos mecanismos de deteção.

Um exemplo de fraude

A campanha continua ativa depois de um mês de acompanhamento, utiliza como chamariz a marca “Correios”. Funciona da seguinte maneira:

  1. Solicita um pequeno pagamento para cobrir as despesas de uma nova tentativa de entrega de encomenda.
  2. No momento em que a vítima insere os dados do seu cartão de crédito, o cibercriminoso rouba a informação.
  3. Em seguida, executa um débito financeiro na conta bancária da vítima.

A quantidade defraudada para a vítima costuma variar, um dos últimos casos de fraude tratado pelo nosso laboratório com uma topologia criminosa semelhante foi de 900 euros.

Imagem 1- Notificação bancária operação fraude

 

Campanha maliciosa que se aproveita da imagem 

A infraestrutura estabelecida pelo adversário esteve em operação 30 dias, entre o dia 19-04-2020 e o dia 19-05-2020. Durante o tempo de campanha, vários dos produtos comerciais destinados à ciberdefesa e que são uma referência no mercado da cibersegurança não a identificaram, no caso de dispor desta tecnologia resta o fator humano como única via de deteção precoce.

O site destinado à fraude é apresentado na Imagem 2.

 

Quando o utilizador clica em “Pagar e Continuar” o site redireciona para o gateway de pagamento, que não é mais do que uma simulação do gateway de pagamento Redsys, Imagem 3.

Imagem 3 – Gateway de pagamento

 

A infraestrutura tecnológica através da qual estão a operar tem pelo menos dois nomes de domínio registados no dia 19-04-2020 mediante o agente registador publicdomainregistry[.]com.

Estes nomes de domínio não estão relacionados com uma ameaça segundo o virustotal[.]com, Imagem 4 e Imagem 5.

Imagem 4 – Resultado virustotal nome de domínio entrega-fallida-de-paquete-corroes[.]com Maio 2020.
Imagem 5 – Resultado virustotal nome de domínio correos-paquete-entrega-fallida[.]com Maio 2020.
O site talosintelligence[.]com (CISCO) não reconhece o nome de domínio malicioso.

Imagem 6 – Resultado da análise nome de domínio talosIntelligence CISCO Maio 2020.

O site de reputação da Symantec, atualmente não reconhece o nome de domínio.

Imagem 7 – Resultado da análise nome de domínio Symantec Maio 2020.

Os nomes de domínio anteriores apresentam o endereço de IP 162.241.61[.]74.

Este endereço de IP não está relacionado com uma ameaça segundo o virustotal[.]com.

Imagem 8 – Resultado da análise endereço de IP virustotal[.]com Maio 2020.
O site talosintelligence[.]com (CISCO) classifica com reputaão neutra o endereço de IP os que apresentam os nomes de domínio maliciosos.

Muitas vezes ouvimos “enviaram-nos uma nova onda de e-mails”, o procedimento de operações de ciberdefesa para

Imagem 9 – Resultado da análise por endereço de IP talosIntelligence (CISCO) Maio 2020.
Como ciberdefendermos.

As campanhas dos nossos adversários, por vezes agressivas, umas vezes dirigidas, outras indiscriminadas e generalistas seria o seguinte:

  1. Neutralizar (reagir
  2.  Detetar
    • Traçar o perfil da ação maliciosa.
    • Identificar positivos na organização.
  3. Reagir
  4. Deteção avançada
    • Traçar o perfil do ator da ameaça.
    • Traçar o perfil dos recetores.
    • Executar ações de ciberinteligência (TH, TI).
  5. Retroalimentar as cibercapacidades.
  6. Educar o trabalhador.

Por vezes, consciencializar os trabalhadores será o último elemento de proteção que fará com que o adversário não provoque uma dor de cabeça ao negócio quando não se dispõe dos mecanismos de segurança adequados ou quando a tecnologia não basta porque o ciclo de vida da nossa ameaça altera-se de forma ágil.

O adversário, independentemente dos seu motivos, capacidades e recursos, tem por norma comprometer. Se formos o alvo, o adversário irá operar tentando atingir as nossas capacidades tecnológicas, o processo humano na gestão da segurança, por exemplo, um SOC, não pode ser substituído em muitos casos por nenhum tipo de tecnologia atual.

No mundo físico não existe um medicamento que cure todas as doenças e no mundo cibernético não existe uma tecnologia ou conjunto de tecnologias que identifique e neutralize todos os tipos de ataques.

Dependendo da força da nossa TI, irá variar o equilíbrio de recursos que o adversário tenha de destinar para as diferentes fases da operação que tenha encomendada, quando a fase de entrega estiver cumprida. Se só restar o fator humano para intervir na cadeia do ataque, só nos restará a capacidade do nosso trabalhador para poder redimir a possibilidade do nosso adversário poder começar a operar na nossa infraestrutura.

Investir em cibersegurança significa investir em saúde para o nosso negócio.